继此前与微软的法律纠纷之后,安全研究领域再次曝出针对Windows系统BitLocker加密功能的潜在绕过方式。一位名为Chaotic Eclipse的研究员近日发布了名为GreatXML的新漏洞详情,声称该漏洞在特定条件下能够解锁受BitLocker保护的驱动器。这一发现促使安全社区重新审视Windows加密机制的实际防护能力。

根据该研究员的描述,GreatXML漏洞生效存在一个关键前提:目标系统必须曾经执行过Microsoft Defender的离线扫描。只有满足这一条件,系统才会被视为存在可利用的漏洞状态。然而,这一前置要求本身就给攻击实施带来了巨大障碍。
攻击链条复杂,依赖物理接触
Chaotic Eclipse在GitHub上公布的攻击方法显示,攻击者需要将包含unattend.xml文件及恢复目录的漏洞库复制到Windows恢复分区(WinRE)的根目录,然后重启系统进入WinRE环境。如果操作正确,将启动一个可以不受限制访问BitLocker加密卷的Shell。然而,其他安全研究员在测试和深入分析后揭示了更复杂的现实。安全研究员Will Dormann在Mastodon上表示,按照所述方法在多个Windows 11系统上测试均未成功。他发现,攻击要最终生效,需要在将漏洞文件植入WinRE分区后,再执行第二次Microsoft Defender离线扫描。这意味着完整的攻击链条极为繁琐。
实际利用门槛高,研究员已转移关注
综合来看,要成功利用此漏洞,攻击者需要先通过物理接触目标设备并植入文件,然后将设备返还给受害者,诱使其执行一次离线扫描,之后再次夺取设备才能访问加密数据。这种需要多次物理接触和特定用户操作的攻击路径,在实际攻击场景中可行性较低。Chaotic Eclipse本人在博客中透露,GreatXML漏洞是一次“偶然发现”,整个研究过程大约只花费了4个小时。他推测这一攻击或许在目标从未进行过离线扫描的情况下也能实现,但他表示“目前已经失去兴趣”,不愿继续深入探究。为确保研究成果不被封锁,他已将相关代码上传至GitHub及另外两个不受微软控制的平台。
