Auf den Punkt: Der Exploit GreatXML nutzt eine Sicherheitslücke in Microsofts Offline-Scan-Funktion aus, um BitLocker zu umgehen und bei erfolgtem Offline-Scan des Defenders vom Wiederherstellungsmodus aus auf verschlüsselte Laufwerke zuzugreifen.
Der Sicherheitsforscher Nightmare Eclipse hat einen funktionsfähigen Exploit veröffentlicht, der die BitLocker-Verschlüsselung von Microsoft umgeht und lokalen Angreifern vollständige SYSTEM-Privilegien im Windows-Wiederherstellungsmodus gewährt. Die Lücke wird derzeit nicht von Patches geschlossen.
Der Exploit GreatXML zielt auf eine Schwachstelle in der Offline-Scan-Funktion von Microsoft Defender ab. Sobald auf einem System mindestens einmal ein solcher Offline-Scan durchgeführt wurde, wird es für den Angriffsvektor anfällig. Ein lokaler Angreifer kann dann eine Eingabeaufforderung mit umfassenden SYSTEM-Privilegien im Wiederherstellungsmodus starten und damit das durch BitLocker geschützte Laufwerk vollständig zugänglich machen.
Für die praktische Ausführung müssen spezifische Dateien auf das Zielsystem übertragen werden: eine XML-Datei und ein Wiederherstellungsordner mit einer weiteren XML-Datei, beide in das Stammverzeichnis der Wiederherstellungspartition. Danach wird das System in den Wiederherstellungsmodus versetzt (Shift + Neustart). Nach dem Hochfahren erhält der Angreifer unbegrenzten Zugriff auf das verschlüsselte Volumen. Nightmare Eclipse vermerkt in der Dokumentation, dass, sollte der Offline-Scan noch nie initiiert worden sein, der Angreifer diesen selbst starten oder einen Weg finden müsse, im Offline-Scan-Zustand in WinRE zu booten.
Die Veröffentlichung folgt auf den Exploit RoguePlanet desselben Autors, der ebenfalls eine Sicherheitslücke in Microsoft Defender ausnutzt und eine lokale Ausweitung der Benutzerrechte auf SYSTEM-Ebene ermöglicht. Nightmare Eclipse, bekannt auch als Chaotic Eclipse, veröffentlicht seit Monaten systematisch ungepatchte Zero-Day-Lücken. Begründung: anhaltende Streitigkeiten mit Microsoft über die Fehlerbehandlung und die finanzielle Vergütung im Bug-Bounty-Programm.
Ältere Lücken des Forschers wie BlueHammer, RedSun und UnDefend werden bereits aktiv in Cyberangriffen ausgenutzt. Microsoft behob GreenPlasma und YellowKey mit den Patch-Tuesday-Updates im Juni 2026. Die neuen Exploits RoguePlanet und GreatXML bleiben derzeit ungepatcht.
Quelle: www.it-daily.net · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.