Thought Leadership
Der Sicherheitsforscher Nightmare Eclipse hat mit GreatXML einen neuen Zero-Day-Exploit veröffentlicht, der die BitLocker-Verschlüsselung aushebelt.
Der Sicherheitsforscher Nightmare Eclipse hat einen neuen funktionstüchtigen Schadcode veröffentlicht, der die Festplattenverschlüsselung BitLocker von Microsoft umgeht. Der Exploit mit dem Namen GreatXML ermöglicht es lokalen Angreifern, im Wiederherstellungsmodus (Recovery Mode) eine Eingabeaufforderung mit umfassenden SYSTEM-Privilegien zu starten. Das bereitgestellte Konzept (Proof of Concept) nutzt eine Sicherheitslücke in der Offline-Scan-Funktion von Microsoft Defender aus. Sobald auf einem Windows-Computer mindestens einmal ein solcher Offline-Scan gestartet wurde, ist das System für diesen Angriffsvektor anfällig.
Für die Durchführung des Angriffs müssen spezifische Dateien auf das Zielsystem übertragen werden. Der Programmcode erfordert das Kopieren einer XML-Datei sowie eines separaten Wiederherstellungsordners, der eine weitere XML-Datei enthält, in das Stammverzeichnis der Wiederherstellungspartition des Computers. Anschließend muss das System in den Wiederherstellungsmodus versetzt werden, was durch das Gedrückthalten der Shift-Taste beim Klicken auf die Schaltfläche Neustart geschieht. Nach dem Hochfahren erhält der Akteur unbeschränkten Zugriff auf das durch BitLocker geschützte Laufwerksvolumen.
Voraussetzung für die Kompromittierung des Offline-Scans bei BitLocker
Die Ausnutzung der Schwachstelle erfordert, dass die Offline-Suchfunktion von Microsoft Defender aktiv war oder vom Angreifer gezielt gestartet wird. Zu dieser technischen Voraussetzung äußerte sich der Forscher Nightmare Eclipse in der Dokumentation des Exploits:
„Wenn der Offline-Scan von Defender noch nie initiiert wurde, müssen Sie sich entweder anmelden und ihn selbst starten oder einen Weg finden, im Offline-Scan-Zustand in WinRE zu booten (ich glaube, dass dies ohne Anmeldung sehr gut möglich sein sollte).“
Nightmare Eclipse, Sicherheitsforscher
Eskalation im Konflikt um das Sicherheitsforschungsprogramm
Die Veröffentlichung von GreatXML erfolgte nur einen Tag nach der Bereitstellung eines anderen Exploits desselben Autors namens RoguePlanet. Jener Schadcode attackiert ebenfalls Microsoft Defender über eine Wettlaufsituation (Race Condition) und führt zu einer lokalen Ausweitung der Benutzerrechte auf SYSTEM-Ebene unter Windows 10 und Windows 11. Nightmare Eclipse, in der Sicherheitsbranche auch als Chaotic Eclipse bekannt, veröffentlicht seit einigen Monaten systematisch ungepatchte Zero-Day-Sicherheitslücken. Als Motiv nennt der Akteur anhaltende Streitigkeiten mit Microsoft über den Umgang mit Fehlermeldungen und die finanzielle Vergütung im Rahmen von Bug-Bounty-Programmen.
Der Softwarekonzern versucht seither, die öffentlich gemachten Schwachstellen über Updates zu schließen. Während ältere Sicherheitslücken wie BlueHammer, RedSun und UnDefend bereits aktiv bei Cyberangriffen ausgenutzt wurden, konnte Microsoft zwei weitere Lücken namens GreenPlasma und YellowKey erst kürzlich mit den Patch-Tuesday-Updates im Juni 2026 beheben. Die neu veröffentlichten Sicherheitslücken RoguePlanet und GreatXML sind zum aktuellen Zeitpunkt noch ungepatcht.
(red)
