Phát hiện lỗ hổng GreatXML: Bypass BitLocker trên Windows thông qua phân vùng khôi phục

Một nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse vừa công bố một phương thức tấn công mới mang tên GreatXML, cho phép vượt qua cơ chế bảo mật BitLocker trên hệ điều hành Windows. Đáng chú ý, phát hiện này xuất hiện chỉ một ngày sau khi cùng tác giả công bố một exploit khác nhắm vào Microsoft Defender.

Cơ chế tấn công của GreatXML

Theo chia sẻ từ Chaotic Eclipse, lỗ hổng này được phát hiện một cách tình cờ trong quá trình nghiên cứu. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách thực hiện các bước sau:

• Sao chép tệp unattend.xml và một thư mục khôi phục chứa tệp ReAgent.xml vào thư mục gốc của phân vùng khôi phục (recovery partition).
• Khởi động lại máy tính vào môi trường Windows Recovery Environment (WinRE) bằng cách giữ phím Shift khi chọn lệnh Restart.

Nếu thực hiện đúng quy trình, hệ thống sẽ mở ra một shell với quyền truy cập không hạn chế vào ổ đĩa đã được mã hóa bởi BitLocker. Nhà nghiên cứu lưu ý rằng nếu tính năng Defender Offline Scan chưa từng được kích hoạt, kẻ tấn công có thể cần phải đăng nhập hoặc tìm cách khởi động vào WinRE ở trạng thái quét ngoại tuyến để thực thi mã độc.

Bối cảnh an ninh mạng

Đây không phải là lần đầu tiên Chaotic Eclipse tìm ra lỗ hổng liên quan đến BitLocker. Trước đó, họ đã công bố YellowKey (được định danh là CVE-2026-45585), một lỗ hổng mà Microsoft đã phát hành bản patch trong đợt cập nhật Patch Tuesday tuần này.

Sự xuất hiện của GreatXML tiếp nối chuỗi các lỗ hổng nghiêm trọng gần đây trên hệ sinh thái Windows, bao gồm cả RoguePlanet – một lỗ hổng zero-day trong Microsoft Defender cho phép leo thang đặc quyền (LPE) lên mức SYSTEM. Các chuyên gia khuyến cáo người dùng và quản trị viên hệ thống cần theo dõi sát sao các bản cập nhật từ Microsoft để giảm thiểu rủi ro từ các phương thức tấn công mới này.

Nguồn tham khảo: The Hacker News