O pesquisador de segurança Nightmare Eclipse divulgou um novo método de contorno do BitLocker no Windows, apenas um dia após publicar um exploit direcionado ao Microsoft Defender.
O exploit GreatXML
Batizado de GreatXML, o novo exploit permite que usuários contornem o BitLocker e abram um prompt de comando com privilégios de SYSTEM enquanto o sistema está no Modo de Recuperação.
O código de prova de conceito (PoC) liberado pelo pesquisador tem como alvo uma vulnerabilidade na funcionalidade de verificação offline do Microsoft Defender.
De acordo com Nightmare Eclipse, todos os sistemas nos quais uma verificação offline foi iniciada pelo menos uma vez se tornam vulneráveis automaticamente.
O exploit de PoC inclui um arquivo XML e uma pasta de Recuperação (contendo outro XML) que precisam ser copiados para a raiz da partição de recuperação do computador.
Em seguida, o sistema precisa ser reiniciado no Modo de Recuperação, segurando a tecla Shift enquanto se clica no botão Reiniciar. Assim que o sistema reinicia, o usuário obtém acesso irrestrito ao volume protegido pelo BitLocker.
Qualquer máquina com Windows se torna vulnerável ao GreatXML assim que a verificação offline do Defender é iniciada. Assim, um atacante só precisa acionar a funcionalidade antes de executar o exploit.
"Se a verificação offline do Defender nunca tiver sido iniciada, então você precisa fazer login e iniciá-la por conta própria ou descobrir uma maneira de inicializar no WinRE (Ambiente de Recuperação do Windows) em estado de verificação offline. Acredito que deve ser muito possível fazer isso sem fazer login", afirmou o pesquisador.
Contexto e histórico
Nightmare Eclipse lançou o GreatXML apenas um dia após o RoguePlanet, uma falha de dia zero no Microsoft Defender que leva à escalada de privilégios locais (LPE) para SYSTEM.
Também conhecido como Chaotic Eclipse, o pesquisador vem divulgando exploits para várias vulnerabilidades de dia zero no Windows após expressar insatisfação com a forma como a Microsoft trata os pesquisadores que participam de seus programas de divulgação de vulnerabilidades.
A Microsoft tem se esforçado para corrigir as falhas divulgadas publicamente, incluindo BlueHammer, RedSun e UnDefend, que foram exploradas em ataques. A empresa também corrigiu GreenPlasma e YellowKey nas atualizações do Patch Tuesday de junho de 2026.
