ADSENSE
|
Questo post é stato letto 80 volte!
Bypass bitlocker windows defender offline scan: nuova scoperta nel mondo della sicurezza informatica
Una nuova tecnica di sicurezza, denominata GreatXML, ha rivelato un potenziale bypass bitlocker windows defender offline scan.
Questa scoperta, divulgata dal ricercatore Nightmare Eclipse, solleva interrogativi sulla protezione dei dati quando un dispositivo finisce nelle mani sbagliate, in particolare per i sistemi che hanno utilizzato la scansione offline di Defender.
La vulnerabilità non compromette la crittografia di BitLocker, ma piuttosto la catena di fiducia dell’ambiente di recupero, consentendo l’accesso ai dati in chiaro.
I sistemi protetti con BitLocker TPM+PIN rimangono sicuri.
Greatxml: come funziona l’attacco a bitlocker
Il ricercatore ha descritto GreatXML come una scoperta accidentale, sviluppata in appena quattro ore di analisi.
La vulnerabilità sfrutta un’interazione specifica tra WinRE (Windows Recovery Environment) e Microsoft Defender Offline Scan.
Sistemi che hanno avviato almeno una volta la scansione offline di Defender sono potenzialmente esposti.
Questa funzione, presente da anni in Windows, analizza il sistema prima del caricamento completo del sistema operativo.
Con GreatXML, il meccanismo di cifratura di BitLocker rimane intatto.
Il problema risiede nella catena di fiducia che permette a Windows di accedere automaticamente alle chiavi di protezione durante le procedure di recupero e manutenzione.
La tecnica prevede l’utilizzo di file XML e componenti da copiare nella partizione di ripristino del sistema.
Una volta predisposti, si può ottenere una shell con privilegi elevati e accedere al volume protetto da BitLocker.
Se la scansione offline di Defender non è stata eseguita in precedenza, l’attaccante dovrebbe attivarla manualmente o trovare un altro metodo per avviare il sistema nello stato richiesto.
L’immagine mostra come, durante l’avvio della scansione online, si apra un prompt con privilegi elevati che consente l’accesso al contenuto dell’unità di sistema protetta.
Il ruolo di winre nella vulnerabilità
WinRE è una versione ridotta di Windows PE, progettata per attività di ripristino, diagnosi e manutenzione quando il sistema principale non si avvia correttamente.
Opera prima del caricamento completo di Windows tradizionale, godendo di privilegi elevati e accesso a componenti normalmente protetti.
BitLocker considera il percorso di avvio del sistema come attendibile e, in determinate condizioni, sblocca automaticamente i volumi cifrati tramite il modulo TPM.
GreatXML sfrutta una condizione in cui WinRE tratta come attendibili file che non dovrebbero esserlo.
In particolare, l’avvio di Defender Offline Scan per una scansione antimalware offline, appoggiandosi a WinRE, lascia tracce o stati persistenti nell’ambiente di recupero che possono essere sfruttati.
GreatXML utilizza file di configurazione XML elaborati durante il boot in modalità recovery, consentendo l’esecuzione di comandi non previsti e l’apertura di una console con privilegi elevati.
Impatto e limiti dell’attacco greatxml
Le informazioni attuali indicano che GreatXML richiede accesso fisico al dispositivo e la capacità di modificare la partizione di ripristino.
Non ci sono segnali che suggeriscano la possibilità di sfruttare la falla da remoto.
Molte organizzazioni si affidano a BitLocker per proteggere i notebook aziendali in viaggio, offrendo un buon livello di protezione contro furti e smarrimenti.
Se un attaccante ottiene accesso fisico al dispositivo per un tempo sufficiente, una vulnerabilità che colpisce WinRE può diventare un problema reale per la riservatezza dei dati.
Per accedere alla partizione BitLocker, l’attaccante deve essere in grado di scrivere sul disco per modificare il contenuto della partizione WinRE.
Tuttavia, se il sistema utilizza BitLocker con protezione TPM+PIN, la situazione è meno pericolosa.
In questo caso, l’aggressore non può montare il volume Windows, alterare WinRE e preparare il bypass senza conoscere il PIN.
Il post scomparso e le implicazioni per la sicurezza di windows
Un aspetto interessante è la rapida scomparsa del post originale che annunciava GreatXML dal blog personale di Nightmare Eclipse, che ora restituisce un errore 404, sebbene una copia sia disponibile tramite Internet Archive.
Questa circostanza è insolita, dato che i repository con il proof of concept e la documentazione tecnica rimangono pubblicamente accessibili.
Se l’obiettivo fosse stato limitare la diffusione, sarebbe stato più logico intervenire sui sorgenti del codice piuttosto che sull’articolo di presentazione.
Negli ultimi mesi, Nightmare Eclipse ha pubblicato numerosi proof of concept che hanno riguardato componenti centrali della sicurezza di Windows, come BlueHammer contro Microsoft Defender, YellowKey per l’aggiramento di BitLocker (risolto con le patch Microsoft di giugno 2026) e GreenPlasma per l’elevazione dei privilegi.
Queste ricerche non solo hanno un impatto tecnico significativo, ma hanno anche generato una forte tensione tra il ricercatore e Microsoft, con contestazioni reciproche sulle modalità di gestione delle segnalazioni di vulnerabilità.
Questo post é stato letto 80 volte!