Een nieuw ontdekte zero-day kan mogelijk Bitlocker van Microsoft-apparaten omzeilen.
De bekende zero-dayjager Nightmare Eclipse heeft een nieuwe exploit vrijgegeven die volgens hem BitLocker kan omzeilen. De kwetsbaarheid, GreatXML genoemd, zou een opdrachtprompt genereren met volledige toegang tot BitLocker-volumes op systemen waar ooit een Microsoft Defender Offline-scan is uitgevoerd.
De onderzoeker publiceerde de code op GitHub en andere platforms. GreatXML volgt op RoguePlanet, een andere zero-day die lokale privilege-escalatie mogelijk maakt en SYSTEM-toegang biedt.
Hoe de BitLocker-bypass werkt
Volgens Nightmare Eclipse vereist de exploit het kopiëren van “unattend.xml” en de “Recovery”-map naar de root van de herstelpartitie. Daarna is een herstart vereist in WinRE via Shift-klik op Herstarten. Als alles correct is uitgevoerd, zou een shell met onbeperkte toegang tot het BitLocker-volume verschijnen.
Een beveiligingsonderzoeker testte de stappen en concludeerde dat de uitleg van Nightmare Eclipse mogelijk fouten bevat. In zijn tests verscheen de opdrachtprompt pas bij de volgende Defender Offline-scan. Bovendien is toegang tot admin-rechten vereist om zo’n scan te triggeren, wat de praktische haalbaarheid van de exploit beperkt.
Microsoft bevestigde aan The Register dat het op de hoogte is van RoguePlanet en de claims onderzoekt. Over GreatXML heeft het bedrijf nog niet gereageerd. Microsoft benadrukte wel dat geen van de kwetsbaarheden via de officiële kanalen werden gemeld voor publicatie.