New GreatXML Exploit Bypasses Windows BitLocker via Recovery Partition XML Files
Mis à jour :
Vulnérabilité majeure : GreatXML contourne le chiffrement BitLocker
Le chercheur en sécurité Chaotic Eclipse a dévoilé GreatXML, une nouvelle technique permettant de contourner le chiffrement Windows BitLocker. Cette méthode exploite la manière dont l’environnement de récupération Windows (WinRE) traite les fichiers de configuration XML.
Points clés :
- Mécanisme : L’attaque consiste à placer des fichiers spécifiques (
unattend.xmletReAgent.xml) à la racine de la partition de récupération. Lors du redémarrage en mode WinRE, le système exécute ces fichiers, permettant l’ouverture d’un shell avec un accès complet et non restreint au volume chiffré par BitLocker. - Conditions : La vulnérabilité est particulièrement accessible si l’utilisateur a déjà effectué une analyse hors ligne avec Microsoft Defender, bien qu’il soit possible de forcer l’état vulnérable manuellement sans accès préalable.
- Contexte : Il s’agit du deuxième contournement de BitLocker identifié par ce chercheur après YellowKey (CVE-2026-45585), dont le correctif a été publié récemment par Microsoft.
Vulnérabilités :
- Aucun identifiant CVE n’a encore été attribué à GreatXML au moment de la publication.
Recommandations :
- Surveillance et accès physique : Étant donné que l’exploitation nécessite un accès physique ou local à la machine pour modifier la partition de récupération, restreindre l’accès physique aux terminaux reste la meilleure protection immédiate.
- Mises à jour : Maintenir le système à jour avec les derniers correctifs Microsoft est crucial, car la firme déploie régulièrement des remédiations pour ce type de failles découvertes sur ses mécanismes de récupération.
- Sécurisation du BIOS/UEFI : Désactiver le démarrage sur des supports externes et protéger l’accès au BIOS par un mot de passe peut limiter les vecteurs d’attaque facilitant l’accès à WinRE.