GreatXML całkowicie omija Bitlockera. Ten haker to koszmar Microsoftu

Microsoft ledwo zdążył załatać serię głośnych luk bezpieczeństwa, a już pojawił się kolejny problem. Kontrowersyjny badacz działający pod pseudonimem Nightmare Eclipse opublikował nowy exploit o nazwie GreatXML, który według jego zapewnień pozwala uzyskać dostęp do zaszyfrowanych danych chronionych przez BitLockera.

Publikacja wywołała natychmiastową reakcję społeczności zajmującej się cyberbezpieczeństwem. Powód jest prosty. BitLocker od lat stanowi jedną z najważniejszych warstw ochrony danych w systemie Windows. Korzystają z niego zarówno firmy, jak i miliony użytkowników indywidualnych przechowujących na komputerach poufne informacje. Jeżeli doniesienia okazałyby się prawdziwe, Microsoft musiałby zmierzyć się z jednym z najpoważniejszych wyzwań bezpieczeństwa ostatnich miesięcy.

Kolejna luka od człowieka, który walczy z Microsoftem

Nightmare Eclipse stał się w ostatnich tygodniach jednym z najgłośniejszych nazwisk w świecie bezpieczeństwa IT. Badacz regularnie publikuje exploity dla niezałatanych błędów systemu Windows, otwarcie krytykując sposób, w jaki Microsoft komunikuje się ze społecznością odkrywającą podatności.

GreatXML pojawił się zaledwie dzień po publikacji innego exploita nazwanego RoguePlanet. Tamten błąd miał umożliwiać lokalną eskalację uprawnień i przejęcie kontroli nad systemem z poziomu konta SYSTEM. Łącznie Nightmare Eclipse ujawnił już osiem luk typu zero-day. Sześć wcześniejszych podatności zostało usuniętych podczas czerwcowej aktualizacji Patch Tuesday.

Konflikt między badaczem a Microsoftem trwa od wielu miesięcy i przybiera coraz bardziej publiczny charakter. Według części ekspertów anonimowy autor exploitów może być byłym pracownikiem firmy, choć nie przedstawiono na to żadnych oficjalnych dowodów.

GreatXML ma omijać BitLockera

Najnowszy exploit koncentruje się na mechanizmach związanych z odzyskiwaniem systemu Windows oraz działaniem programu Microsoft Defender Offline. Nightmare Eclipse twierdzi, że podatność została odkryta przypadkowo i jej znalezienie zajęło zaledwie kilka godzin. Według opublikowanego opisu luka może zostać wykorzystana w komputerach, na których wcześniej uruchomiono skanowanie offline za pomocą programu Microsoft Defender.

Badacz utrzymuje, że odpowiednia modyfikacja plików wykorzystywanych przez środowisko odzyskiwania Windows pozwala doprowadzić do uruchomienia wiersza poleceń z pełnym dostępem do zaszyfrowanego woluminu.

To właśnie ten element wywołał największe poruszenie. BitLocker został zaprojektowany jako narzędzie chroniące dane nawet w przypadku fizycznego dostępu do urządzenia. Każda metoda umożliwiająca obejście tych zabezpieczeń natychmiast trafia pod lupę ekspertów.

Eksperci zaczęli sprawdzać działanie exploita

Niedługo po publikacji kodu pojawiły się pierwsze niezależne próby odtworzenia podatności. Jedną z nich przeprowadził znany badacz bezpieczeństwa Will Dormann. Rezultaty okazały się mniej jednoznaczne niż sugerował autor exploita.

Dormann potwierdził, że część opisywanych zachowań rzeczywiście występuje. Jednocześnie zwrócił uwagę na istotne ograniczenia całego scenariusza. W jego testach uzyskanie efektu wymagało wcześniejszego uruchomienia skanowania Defender Offline z poziomu zalogowanego systemu Windows. To oznacza konieczność posiadania uprawnień administratora jeszcze przed rozpoczęciem całej procedury.

Zdaniem badacza prowadzi to do ważnego pytania. Jeśli ktoś dysponuje już dostępem administracyjnym do komputera, może zwyczajnie wyłączyć BitLockera bez korzystania z dodatkowych metod.

Nie wszystkie testy potwierdzają działanie luki

Wątpliwości pojawiły się również podczas prób odtworzenia scenariusza na różnych wersjach systemu Windows 11. Według Dormanna część opisu przedstawionego przez Nightmare Eclipse nie znalazła potwierdzenia w praktyce. W kilku testowanych konfiguracjach system nie uruchamiał automatycznie oczekiwanego trybu skanowania po wykonaniu wskazanych kroków.

To nie oznacza, że luka nie istnieje. Pokazuje jednak, że jej działanie może być bardziej ograniczone lub zależne od konkretnych konfiguracji sprzętowych i programowych.

Dla specjalistów zajmujących się bezpieczeństwem to ważna informacja. W świecie exploitów nawet niewielkie różnice w konfiguracji potrafią decydować o skuteczności całego ataku.

Microsoft analizuje sytuację

Microsoft potwierdził, że bada wcześniejszą lukę RoguePlanet i analizuje przedstawione twierdzenia dotyczące bezpieczeństwa systemu Windows. W chwili publikacji firma nie przedstawiła szczegółowego stanowiska dotyczącego GreatXML ani nie poinformowała o planach wydania poprawki.

Jednocześnie gigant z Redmond przypomniał, że żadna z ostatnich podatności ujawnionych przez Nightmare Eclipse nie została wcześniej zgłoszona oficjalnymi kanałami odpowiedzialnego ujawniania błędów.

Niepokojący trend dla użytkowników Windowsa

Niezależnie od ostatecznej oceny GreatXML, ostatnie tygodnie pokazują rosnącą aktywność osób publikujących niezałatane luki bezpieczeństwa bez wcześniejszego kontaktu z producentami oprogramowania.

Dla Microsoftu oznacza to konieczność reagowania na kolejne zagrożenia w wyjątkowo krótkim czasie. Dla administratorów i firm korzystających z Windowsa to sygnał, że nawet najbardziej znane mechanizmy ochrony danych wymagają ciągłej uwagi.

Najbliższe dni pokażą, czy GreatXML okaże się rzeczywistym zagrożeniem dla użytkowników BitLockera, czy też kolejnym przypadkiem podatności o znacznie mniejszym znaczeniu niż sugerowały pierwsze doniesienia.