Недовольный исследователь, который в течение последних нескольких месяцев публиковал уязвимости нулевого дня в Microsoft Windows, в четверг выпустил новый эксплойт, который, как утверждается, позволяет обойти шифрование BitLocker на заблокированных устройствах. Высокоуважаемый эксперт по безопасности сообщил, что эксплойт не работает так, как было заявлено изначально, но исследователь ищет способы его исправить.
Эксплойт под названием GreatXML, как предполагается, работает из среды восстановления Windows (WinRE) — специального режима загрузки в Windows, предназначенного для устранения проблем с запуском. Он также, по-видимому, связан с функцией автономного сканирования Windows Defender.
«Если в момент атаки на машине жертвы было инициировано автономное сканирование Defender, то входить в систему не нужно, машина автоматически уязвима», — заявил исследователь, известный под псевдонимами Nightmare Eclipse или Chaotic Eclipse, в примечаниях к эксплойту. «Если автономное сканирование Defender никогда не инициировалось, то вам придется либо войти в систему и запустить его самостоятельно, либо найти способ загрузиться в WinRE в состоянии автономного сканирования (я считаю, что это вполне возможно сделать без входа в систему)».
Требование входа в систему здесь имеет значение, поскольку системный диск, зашифрованный BitLocker, будет разблокирован и расшифрован при входе пользователя. Однако весь смысл обхода BitLocker заключается в получении доступа к незашифрованному диску без учетных данных для входа, например, на украденном ноутбуке.
На машинах, где ранее выполнялось автономное сканирование Windows Defender, эксплуатация должна работать путем копирования двух файлов (unattend.xml и Recovery/WindowsRE/ReAgent.xml), предоставленных Nightmare Eclipse, в раздел WinRE — это можно сделать извне операционной системы, поскольку раздел WinRE не зашифрован, — а затем перезагрузки системы в режиме WinRE.
«Если все сделано правильно, появится оболочка с неограниченным доступом к тому, что касается тома BitLocker», — заявил Nightmare Eclipse.
Однако Уилл Дорманн, опытный аналитик по уязвимостям, который исследовал предыдущие эксплойты, выпущенные Nightmare Eclipse, не смог воспроизвести обход, используя предоставленные инструкции, после попыток на трех версиях Windows 11.
«Я думаю, что описание ошибочно в том смысле, что запущенный CMD.EXE появляется при следующем запуске автономного сканирования Microsoft Defender», — заявил Дорманн в своем аккаунте в Mastodon. «А чтобы запустить автономное сканирование Microsoft Defender, вам нужно быть вошедшим в систему Windows и иметь права администратора. И если у вас уже есть такой уровень доступа, вы можете просто отключить BitLocker».
Наблюдение Дорманна согласуется с документацией Microsoft, в которой указано, что запуск автономного сканирования Windows Defender требует административных привилегий и инициирует перезагрузку в режим WinRE для начала сканирования. Суть автономного сканирования заключается в том, чтобы оно выполнялось извне операционной системы для очистки угроз на уровне ядра, таких как руткиты, которые могут помешать обычному процессу Windows Defender.
Nightmare Eclipse не ответил на отчет Дорманна, но спросил в X, знает ли кто-нибудь способ запустить сканирование Defender в автономном режиме, просто отредактировав ReAgent.xml. Это наводит на мысль, что исследователь ищет альтернативный способ запуска эксплойта, но это может быть связано со сценарием, когда автономное сканирование Defender никогда не выполнялось ранее.
Собственный пост Eclipse об GreatXML исчез с его сайта blogspot.com, но он утверждает, что это дело рук Google (Google владеет сервисом Blogger). Репозиторий GitHub, где он публиковал свои предыдущие эксплойты нулевого дня, также был недавно удален, предположительно Microsoft, которая владеет GitHub, что вызвало критику со стороны многих в сообществе безопасности, поскольку GitHub был безопасным местом для хранения исследований в области безопасности, включая эксплойты с доказательством концепции нулевого дня.
У исследователя личная неприязнь к Microsoft после того, как он заявил, что компания плохо с ним обращалась, и на данный момент он выпустил восемь эксплойтов нулевого дня в компонентах Windows. Некоторые релизы были приурочены к выходу Patch Tuesday Microsoft, чтобы заставить компанию выпустить исправления вне цикла или ждать следующего месяца.
Так было и на прошлой неделе, когда исследователь выпустил эксплойт нулевого дня для повышения привилегий в Windows Defender под названием RoguePlanet, а через два дня последовал предполагаемый обход BitLocker GreatXML.
Даже если Дорманн не смог заставить GreatXML работать, компаниям все равно следует серьезно отнестись к эксплойту, учитывая послужной список Eclipse по выпуску функциональных эксплойтов нулевого дня. Если в эксплойте есть ошибка, исследователь или кто-то другой может ее исправить или найти альтернативный способ его запуска.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
