@vintcessun: BitLocker加密后,按往常逻辑,没密码就是废的。结果GreatXML这个漏洞让人重新思考:原来只要对方的Windows Defender做过离线扫描,整块硬盘就不设防了。 关键在想法的切入角度——不是暴力破解,而是通过WinRE里塞…
摘要
发现名为GreatXML的漏洞,利用Windows Defender离线扫描后的状态,通过WinRE注入unattend.xml绕过BitLocker加密,获得硬盘访问权限。
查看缓存全文
缓存时间: 2026/06/12 12:58
BitLocker加密后,按往常逻辑,没密码就是废的。结果GreatXML这个漏洞让人重新思考:原来只要对方的Windows Defender做过离线扫描,整块硬盘就不设防了。
关键在想法的切入角度——不是暴力破解,而是通过WinRE里塞一个unattend.xml去触发自动部署流程,直接在恢复环境里开shell。绕过姿势有点离谱,但攻击面确实存在。
MSNightmare/GreatXML
Source: https://github.com/MSNightmare/GreatXML
GreatXML
GreatXML bitlocker bypass vulnerability
Steps to reproduce,
- If defender offline scan was initiated in the victim machine at any point then there is no need to login, the machine is automatically vulnerable. You will have to copy “unattend.xml” and “Recovery” directory to the root of the recovery partition then reboot to WinRE using shift + click on restart button, if everything was done correctly, a shell with unrestricted access to the bitlocker volume will spawn.
- If defender offline scan was never initiated then you have to either login and initiate it yourself or figure out a way to boot into WinRE in offline scan state (I believe it should be very possible to do so without logging in) and follow steps above
If everything is done properly, this should be the result
相似文章
安全研究人员声称微软为Bitlocker构建了后门,并发布漏洞利用程序
一位安全研究人员声称微软在BitLocker中构建了后门,并发布漏洞利用程序,引发对加密完整性的担忧。
YellowKey BitLocker 绕过漏洞
YellowKey 是一个概念验证漏洞利用工具,它利用 Windows 恢复环境中的一个漏洞,绕过 Windows 11 的 BitLocker 加密,从而实现对受保护卷的无限制访问。
Microsoft BitLocker – YellowKey零日漏洞利用
一名安全研究人员发布了名为YellowKey的零日漏洞利用,可绕过Windows 11和Windows Server 2022/2025上的Microsoft BitLocker加密,通过USB闪存驱动器即可完全访问锁定驱动器;该漏洞似乎以后门的方式运作,使用后相关文件会消失。
神秘微软漏洞泄露者持续发布零日漏洞
一名匿名研究员在补丁星期二后发布了两款微软零日漏洞利用工具:YellowKey(BitLocker绕过)和GreenPlasma(权限提升),给组织带来严重安全风险。
在与研究人员激烈争执后,微软修复了其披露的0-day漏洞
微软修复了研究人员Nightmare Eclipse在激烈争执中披露的一个0-day漏洞,以及MiniPlasma、YellowKey等其他漏洞。该研究人员还发布了针对一个新Windows Defender漏洞的利用代码。