6 月 11 日消息,在经历过微软的法律威胁后,安全研究员 Chaotic Eclipse 于当地时间 6 月 10 日再次公布了一项名为 GreatXML 的漏洞。
就在前一天,Chaotic Eclipse 还抱怨称开发 Rogueplanet Defender 漏洞利用程序已经令其“燃尽”。值得一提的是,这一新漏洞据称同样可以绕过微软的 BitLocker 加密。
目前,他已经将 GreatXML 相关代码上传至 GitHub 以及另外两个不受微软控制的平台,以确保即便微软再次像今年 5 月那样封锁其 GitHub 账户,泄露内容仍可继续流传。
据他本人描述,GreatXML 仅在目标系统曾经执行过 Microsoft Defender 离线扫描的情况下才会生效。满足这一条件后,系统即被视为存在漏洞。
不过,攻击者通常无法自行触发这一前置状态,因为要对已加密的系统执行离线扫描,需要先登录到该设备,而此时数据本就可以直接读取,再考虑如何利用漏洞完全是多此一举。
在发起攻击时,黑客需将漏洞库中的 unattend.xml 文件及恢复目录复制到 Windows 恢复分区(WinRE)的根目录,然后重启进入 WinRE。他表示:“如果一切执行正确,将会启动一个可不受限制访问 BitLocker 卷的 Shell。”
然而,安全研究员 Will Dormann 在 Mastodon 上表示,他按照所述方法在多台 Windows 11 系统上测试后,未能成功复现攻击。Dormann 认为 Chaotic Eclipse 提供的信息可能不完整。他发现,只有将漏洞文件植入 WinRE 分区后,再执行第二次离线扫描,才能最终解锁 BitLocker 加密的驱动器。
这意味着,攻击者需要先取得目标设备并植入文件,再将设备返还给受害者,诱使其执行一次离线扫描,然后重新夺回设备才能访问加密数据,整个攻击链条远比 Chaotic Eclipse 描述的更为繁琐。
Chaotic Eclipse 本人则在博客中称,GreatXML 漏洞是一次“偶然发现”,整个过程只花了大约 4 个小时。他推测这一攻击或许在目标从未进行过离线扫描的情况下也能实现,但他“目前已经失去兴趣”,不愿继续深究。
相关阅读:
《微软让步,撤回对白帽黑客“梦魇日蚀”的法律威胁》
