BitLockerは、Microsoftが開発したWindowsに標準搭載されているドライブ(ハードディスクやSSD)の暗号化機能です。
紛失・盗難時のデータ保護、PCの破棄・譲渡時も安心、USBメモリや外付けHDDなども同様に暗号化して持ち運べる、といった具合に、様々なシーンで安心を提供してくれるものです。
GreatXMLは、Windowsのデバイス暗号化機能であるBitLockerを回避し、内部のデータへの不正アクセスを可能にするゼロデイ脆弱性の名称です。
- BitLocker暗号化の回避(バイパス)
Windowsの標準ディスク暗号化機能「BitLocker」を無効化し、通常なら強固に守られている内部データへ不正にアクセスできます[securityweek.com]。 - 標準セキュリティ機能の悪用
マルウェア検出時に使われる「Microsoft Defender のオフラインスキャン」の処理プロセスや残存データを逆手に取って悪用します。 - WinRE(回復環境)の利用
攻撃者が回復パーティションのルートに細工したXMLファイル(unattend.xmlなど)を配置し、Windows回復環境(WinRE)で強制再起動させることで動作します。 - SYSTEMシェルの取得
攻撃が成功すると、暗号化ボリュームに制限なくアクセスできる最高管理者権限のコマンドプロンプト(SYSTEMシェル)が起動してしまいます。 - 過去の実行履歴がトリガー
対象のWindowsシステムで、過去に一度でもMicrosoft Defenderのオフラインスキャン機能が実行された形跡がある場合に、脆弱性が顕在化しやすくなります。 - 物理アクセスの必要性
ネットワーク経由のリモート攻撃ではなく、基本的にはターゲットとなる端末を直接操作できる「物理的なアクセス」や特定のローカル権限が必要とされています。 - 公式修正パッチの未提供(ゼロデイ)
セキュリティ研究者のChaotic Eclipse氏が発見し公開した時点で、Microsoft社からの公式な修正アップデート(パッチ)はまだ提供されていません。
GreatXMLは、Windowsを保護するはずの「Microsoft Defender」と「WinRE(回復環境)」の仕組みを悪用し、データ暗号化の壁である「BitLocker」を突破する危険なゼロデイ脆弱性です。
端末への物理アクセスが必要なため悪用のハードルは高めではありますが、成功すると最高権限(SYSTEMシェル)を奪取され、内部データを丸ごと抜き取られるリスクがあります。
現時点で公式パッチが存在しないため、今後のMicrosoftの情報を確認することや、物理的な端末管理の徹底が重要な防衛策となります。
GreatXML a bitlocker bypass that seems to only work if you ever had Defender Offline Scan
https://deadeclipse666.blogspot.com/2026/06/greatxml-bitlocker-that-seems-to-only.html
| この記事をシェア |
|
|---|
