Дослідник оприлюднив уразливість, яка обіцяє зламати стандартне шифрування Windows
Дослідник під ніком Nightmare Eclipse у середу випустив новий експлойт під назвою GreatXML, який, за його твердженням, дозволяє обійти шифрування BitLocker у системах Windows. Код був опублікований на GitHub та інших хостингових платформах.
GreatXML – це восьмий експлойт нульового дня, випущений дослідником на даний момент. По суті, нульовий день – це уразливість безпеки, яка ще не має офіційного виправлення від виробника, в цьому випадку Microsoft.
За словами Nightmare Eclipse, уразливість була «випадковим відкриттям», і на її пошук знадобилося лише чотири години. Дослідник стверджує, що вона працює на будь-якій машині, яка коли-небудь запускала сканування Microsoft Defender Offline.
Як працюватиме атака
Згідно з опублікованими інструкціями, процес починається з копіювання файлу «unattend.xml» та папки «Recovery» до кореневого каталогу розділу відновлення Windows. Після цього потрібно перезавантажити систему, утримуючи клавішу Shift під час натискання кнопки «Перезавантажити», що переведе комп’ютер у режим WinRE.
Якщо все пройде правильно, з'явиться оболонка з необмеженим доступом до тому, захищеного BitLocker. Це пояснюється тим, що ця оболонка надасть повний контроль над зашифрованими даними без необхідності пароля розблокування.
Якщо сканування Defender ніколи раніше не запускалося, необхідно буде увійти в систему та запустити його вручну або знайти спосіб змусити WinRE перейти в цей режим автономного сканування.
За словами дослідника, цей недолік дозволить необмежений доступ до томів, захищених BitLocker.
Експерт ставить під сумнів експлойт
Дослідник безпеки Вілл Дорманн спробував відтворити GreatXML, дотримуючись опублікованих покрокових інструкцій, і класифікував метод як «недосконалий». У його тестах командний рядок з'являвся лише наступного разу, коли було фактично запущено повне сканування Defender Offline.
Дорманн вказав на центральну проблему в міркуванні. Щоб запустити це сканування Microsoft Defender Offline, жертва повинна увійти в Windows і вже мати облікові дані адміністратора. Іншими словами, будь-хто, хто вже має цей рівень доступу, може просто вимкнути BitLocker безпосередньо, без потреби в експлойті. Експерт також протестував метод на трьох різних версіях Windows 11 і не зміг відтворити поведінку, описану Nightmare Eclipse, на жодній з них.
За день до цього, ще один експлойт нульового дня
GreatXML був випущений через день після того, як Nightmare Eclipse опублікував RoguePlanet, ще один експлойт, який дозволяє локальне підвищення привілеїв. На практиці це означає, що зловмисник може отримати контроль над рівнем SYSTEM, найвищим можливим рівнем привілеїв у Windows.
GreatXML вражає системи Windows, які вже пройшли сканування Microsoft Defender Offline.
У випадку з RoguePlanet загальна кількість нульових днів, розкритих дослідником, сягає восьми. Інші шість (RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma та MiniPlasma) вже отримали патчі від Microsoft цього тижня під час Patch Tuesday.
Відповідь Microsoft
Microsoft підтвердила, що розслідує достовірність RoguePlanet, але не відповіла щодо GreatXML, а також не вказала, чи має намір випустити патч і коли.
Компанія стверджує, що жодна з вразливостей не була повідомлена через офіційні канали, перш ніж вона стала публічною. Microsoft також заблокувала попередній обліковий запис Nightmare Eclipse на GitHub і навіть запропонувала вжити правових заходів, відступивши після різкої реакції спільноти безпеки.
Мотивація атак
Деякі дослідники вважають, що Nightmare Eclipse є колишнім співробітником Microsoft. Ця людина, здається, затаїла особисту образу на компанію, головним чином щодо того, як вона спілкується з дослідниками безпеки.
Nightmare пообіцяв продовжувати випускати нульові дні, але без фіксованого графіка. Минулого місяця він навіть анонсував великий реліз на 14 липня, пообіцявши, що "кістки" Microsoft будуть "розбиті" цього дня.
Однак у вівторок він відмовився від своїх слів і сказав, що робота над RoguePlanet зайняла більше часу, ніж він очікував, і що він може навіть зробити перерву в релізах наступного місяця. Наступного дня після цієї заяви він випустив GreatXML.
Начало
Вход
Регистрация