Auf den Punkt: Der GreatXML-Exploit soll BitLocker-Verschlüsselung auf der WinRE-Partition umgehen, lässt sich aber nach aktuellem Stand unter Windows 11 nicht wie beschrieben reproduzieren.
Ein Sicherheitsforscher veröffentlichte einen Exploit namens GreatXML, der BitLocker-Verschlüsselung umgehen soll, indem er die Windows Recovery Environment (WinRE) missbraucht. Erste Tests eines anerkannten Sicherheitsexperten deuten jedoch darauf hin, dass der Exploit unter den dokumentierten Bedingungen nicht funktioniert.
Der unter dem Pseudonym Nightmare Eclipse bekannte Forscher veröffentlichte am Donnerstag einen Exploit, der BytLocker auf gesperrten Geräten umgehen soll. Der Angriff basiert darauf, zwei XML-Dateien (unattend.xml und Recovery/WindowsRE/ReAgent.xml) in die unverschlüsselte WinRE-Partition zu kopieren und das System anschließend im WinRE-Modus neu zu starten. Nach erfolgreichem Angriff soll eine Shell mit uneingeschränktem Zugriff auf das BitLocker-Volume spawnen.
Will Dormann, ein erfahrener Sicherheitsanalyst, konnte den Exploit auf drei Windows-11-Versionen nicht reproduzieren. Nach seiner Analyse funktioniert der Angriff nur, wenn zuvor bereits eine Microsoft-Defender-Offline-Untersuchung durchgeführt wurde. Das Problem: Eine solche Prüfung erfordert sowohl angemeldete Benutzer als auch Administratorrechte. Wer diese Zugriffsrechte bereits hat, kann BitLocker einfach deaktivieren und braucht keinen Exploit.
Das Konzept eines BitLocker-Bypass macht nur dann praktischen Sinn, wenn ein Angreifer Zugriff auf ein verschlüsseltes Laufwerk ohne Benutzer-Anmeldedaten erhalten möchte — etwa bei einem gestohlenen Laptop. Die Anforderung, sich zuerst anmelden zu müssen, hebt diesen Vorteil auf.
Nightmare Eclipse suchte daraufhin in den sozialen Medien nach Methoden, um eine Defender-Offline-Prüfung allein durch Änderung der ReAgent.xml-Datei auszulösen. Dies deutet darauf hin, dass er an einer funktionierenden Variante des Exploits arbeitet. Sein ursprünglicher Blogbeitrag sowie sein GitHub-Repository mit früheren Zero-Day-Exploits wurden inzwischen entfernt — der Forscher führt dies auf Google beziehungsweise Microsoft zurück, was in der Sicherheitscommunity auf Kritik stieß.
Nightmare Eclipse hat insgesamt acht angebliche Zero-Day-Exploits in Windows-Komponenten veröffentlicht und begründet seine Veröffentlichungsstrategie mit persönlichen Vorwürfen gegen Microsoft.
Quelle: www.csoonline.com · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.