O pesquisador de segurança Chaotic Eclipse, também conhecido como Nightmare-Eclipse e MSNightmare, divulgou um novo método para burlar o BitLocker no Windows, batizado de GreatXML.
A publicação veio um dia depois de ele apresentar um exploit para o Microsoft Defender.
“Essa foi uma descoberta acidental, levei um total de 4 horas para encontrá-la”, disse o pesquisador em uma postagem no Blogger.
“Se você já tentou usar o Windows Defender Offline Scan, fica automaticamente vulnerável a um bypass do BitLocker.
Não tenho certeza se ainda é possível disparar o bug sem nunca usar o recurso de verificação offline, porque com certeza é possível.”
O exploit funciona da seguinte forma.
Primeiro, é necessário copiar um arquivo XML chamado “unattend.xml” e uma pasta de recuperação que contenha outro arquivo XML, “Recovery/WindowsRE/ReAgent.xml”, para a raiz da partição de recuperação.
Depois, é preciso reiniciar o computador no Ambiente de Recuperação do Windows, o WinRE, mantendo a tecla Shift pressionada ao clicar em Reiniciar no menu de energia do Windows.
Se todas as etapas forem seguidas corretamente, o resultado é a abertura de um shell com acesso irrestrito ao volume protegido pelo BitLocker.
“Se a verificação offline do Defender nunca tiver sido iniciada, então você precisa fazer login e iniciá-la manualmente ou descobrir uma forma de iniciar o WinRE no estado de verificação offline, algo que acredito ser perfeitamente possível sem fazer login, e seguir os passos acima”, observou Chaotic Eclipse.
O lançamento do GreatXML ocorre pouco tempo depois do RoguePlanet, uma falha zero-day no Microsoft Defender que permite escalada local de privilégios, ou LPE, até SYSTEM, dando ao invasor a capacidade de executar código arbitrário ou realizar ações não autorizadas.
O GreatXML também é o segundo bypass do BitLocker divulgado por Chaotic Eclipse depois do YellowKey, também identificado como
CVE-2026-45585
, cujas correções foram lançadas pela Microsoft nesta semana como parte das atualizações do Patch Tuesday.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...