北京
“這次發現純屬意外,總共只花了4小時。”安全研究員Chaotic Eclipse(又名Nightmare-Eclipse、MSNightmare)在博客里寫下這句話時,他剛剛公布了一種叫GreatXML的Windows BitLocker繞過方法。而就在一天前,他剛放出一個針對Microsoft Defender的提權漏洞。
GreatXML的操作原理聽起來簡單得有點不真實:只要你用過Windows Defender的離線掃描功能,你的BitLocker加密就可能被瞬間繞過。Chaotic Eclipse說,他還不能確定沒啟動過離線掃描的機器是否能觸發這個漏洞——“但我認為很可能可以”。
如果你把這個漏洞當成一張流程圖來看,它只做三件事。第一步,把名為unattend.xml的文件以及一個恢復文件夾(內含Recovery/WindowsRE/ReAgent.xml)復制到恢復分區的根目錄下。第二步,按住Shift點擊Windows電源菜單里的“重啟”,進入Windows恢復環境(WinRE)。第三步,如果一切正確,你會得到一個shell,并且它對BitLocker卷的訪問沒有任何限制。
unattend.xml是Windows無人值守安裝的應答文件,ReAgent.xml則是Windows恢復環境的配置文件。攻擊者不需要編譯任何二進制,也不需要觸發復雜的內存崩潰鏈,只需要把兩個合法的XML配置文件放到恢復分區的正確位置,然后引導系統進入WinRE環境。恢復分區通常用作WinRE的棲息地,正常情況下對用戶的可見性極低,但一旦攻擊者獲得了往那里寫文件的能力,整個加密磁盤就相當于被開了一扇后門。
要實現這扇后門,契機來自Windows Defender的離線掃描機制。離線掃描會在系統重啟后進入一個獨立的WinRE環境,用最小服務集來掃描頑固惡意程序。Chaotic Eclipse發現,只要你曾經用過一次這個掃描功能,后續系統啟動到WinRE的路徑就發生了微妙變化——而這恰好為那個不受限制的shell鋪平了道路。用他的原話說:“如果你從來沒啟動過Defender離線掃描,那你需要登錄后手動啟動一次,或者找到一種無需登錄就能讓設備進入離線掃描狀態的方法(我認為完全可以做到),然后照上面的步驟操作。”
這已經是Chaotic Eclipse手里流出的第二個BitLocker繞過漏洞。一個多月前他會同編號CVE-2026-45585的漏洞取了個名字叫YellowKey,微軟在本周的補丁周二更新里才匆匆推出修復補丁。而在他放出GreatXML的幾乎同一時間,一個叫RoguePlanet的零日漏洞也出現在公眾視野里——它瞄準的是Microsoft Defender,允許本地提權至SYSTEM,給攻擊者任意執行代碼或未授權操作的權限。
把這三件事放在一起看,Chaotic Eclipse在極短時間內連續揭開了多個Windows安全機制的薄弱點:全盤加密被兩個XML文件打穿,默認防病毒引擎被本地提權洞穿。而這個節奏的始作俑者,在博客里只是輕描淡寫地說:“這是意外發現,總共花了4小時。”或許對于緊盯著BitLocker的人來說,這次意外唯一的“驚喜”是它來得如此之快,又如此之簡單。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
