یک پژوهشگر امنیتی با نام مستعار Nightmare Eclipse، اکسپلویت روزصفری با نام GreatXML برای دور زدن بیتلاکر (BitLocker) در ویندوز منتشر کرده است. این اکسپلویت از قابلیت اسکن آفلاین مایکروسافت دیفندر سوءاستفاده میکند و علاوه بر دور زدن بیتلاکر، امکان اجرای خط فرمان با سطح دسترسی سیستم (SYSTEM) را هنگام راهاندازی سیستم در محیط بازیابی ویندوز (Windows Recovery Environment یا WinRE) فراهم میسازد.
نحوه اجرای اکسپلویت GreatXML و دور زدن بیتلاکر
اکسپلویت GreatXML تنها یک روز پس از انتشار اکسپلویت دیگری مرتبط با مایکروسافت دیفندر منتشر شده و بار دیگر توجهها را به آسیبپذیریهای مرتبط با کامپوننتهای امنیتی ویندوز جلب کرده است. کد اثبات مفهومی (PoC) نشان میدهد که چگونه سوءاستفاده از وضعیت اسکن آفلاین دیفندر میتواند منجر به اجرای خط فرمان با سطح دسترسی سیستم در WinRE شود و مسیر دور زدن بیتلاکر را برای دسترسی به درایو (Volume) محافظتشده هموار کند.
بر اساس گزارش منتشرشده، GreatXML بهطور مستقیم قابلیت اسکن آفلاین مایکروسافت دیفندر را هدف قرار میدهد. طبق توضیحات Nightmare Eclipse، اگر این اسکن حتی یکبار روی سیستم اجرا شده باشد، دستگاه بهصورت خودکار در برابر این روش آسیبپذیر میشود.
نقش قابلیت اسکن آفلاین مایکروسافت دیفندر در آسیبپذیری GreatXML
طبق توضیحات این پژوهشگر امنیتی، هر سیستم ویندوزی که قابلیت اسکن آفلاین مایکروسافت دیفندر دستکم یک بار روی آن اجرا شده باشد، در برابر اکسپلویت GreatXML آسیبپذیر خواهد بود. اهمیت این موضوع از آن جهت است که اجرای این قابلیت میتواند زمینه دسترسی نامحدود به درایو رمزگذاریشده را فراهم کند؛ مسئلهای که در عمل منجر به دور زدن بیتلاکر و دسترسی به دادههای محافظتشده میشود.
PoC منتشرشده شامل یک فایل XML و یک پوشه با نام ریکاوری (Recovery) است که درون آن نیز فایل XML دیگری قرار دارد. طبق توضیحات ارائهشده، این فایلها باید در root پارتیشن بازیابی سیستم کپی شوند. سپس کاربر با نگه داشتن کلید شیفت (Shift) هنگام انتخاب گزینه راهاندازی مجدد (Restart)، سیستم را وارد WinRE میکند.
پس از راهاندازی مجدد در این حالت، کاربری که بتواند مراحل لازم را انجام دهد، قادر خواهد بود به درایو محافظتشده توسط بیتلاکر دسترسی پیدا کند.
شرایط آسیبپذیر شدن سیستمهای ویندوزی در برابر دور زدن بیتلاکر با GreatXML
بر اساس اظهارات Nightmare Eclipse، هر دستگاه ویندوزی بهمحض آنکه قابلیت اسکن آفلاین مایکروسافت دیفندر روی آن اجرا شود، نسبت به GreatXML آسیبپذیر میشود. بنابراین، در سناریویی که مهاجم امکان فعال کردن این قابلیت را داشته باشد، میتواند پس از آمادهسازی شرایط لازم، فرآیند سوءاستفاده را ادامه دهد و سناریوی دور زدن بیتلاکر را روی سیستم هدف عملی کند.
این پژوهشگر توضیح داده است که اگر اسکن آفلاین دیفندر پیشتر روی سیستم اجرا نشده باشد، مهاجم باید یا وارد سیستم شود و آن را بهصورت دستی فعال کند، یا راهی برای راهاندازی دستگاه در WinRE و در وضعیت مرتبط با اسکن آفلاین پیدا کند. به باور او، احتمالاً انجام این کار بدون ورود به حساب کاربری نیز امکانپذیر است.
با توجه به نیاز به آمادهسازی فایلها و ورود سیستم به WinRE، این سناریو بهویژه در شرایطی اهمیت بیشتری پیدا میکند که مهاجم یا کاربر غیرمجاز بتواند بهصورت لوکال یا فیزیکی با دستگاه تعامل داشته باشد.
ارتباط GreatXML با RoguePlanet و سایر آسیبپذیریهای مایکروسافت دیفندر
انتشار اکسپلویت GreatXML تنها یک روز پس از افشای آسیبپذیری روز صفر دیگری با نام RoguePlanet در مایکروسافت دیفندر انجام شد؛ این آسیبپذیری امکان افزایش سطح دسترسی لوکال (Local Privilege Escalation) تا سطح SYSTEM را فراهم میکند. این فاصله زمانی کوتاه نشان میدهد که ضعفهای امنیتی مرتبط با کامپوننتهای ویندوز یکی پس از دیگری در حال افشا هستند.
پژوهشگر امنیتی Nightmare Eclipse که با نام Chaotic Eclipse نیز شناخته میشود، در ماههای اخیر چندین اکسپلویت مرتبط با آسیبپذیریهای روزصفر در ویندوز منتشر کرده است. او دلیل این رویکرد را نارضایتی از نحوه برخورد مایکروسافت با پژوهشگران امنیتی در برنامههای افشای آسیبپذیری عنوان کرده است.
در چنین شرایطی، سناریوی دور زدن بیتلاکر با GreatXML را نمیتوان یک مورد جداگانه دانست؛ این اکسپلویت بخشی از موج افشای آسیبپذیریها در اکوسیستم ویندوز است.
مایکروسافت در حال تلاش برای رسیدگی به آسیبپذیریهایی است که بهصورت عمومی افشا شدهاند. از جمله این موارد میتوان به BlueHammer، RedSun و UnDefend اشاره کرد که طبق گزارشها در حملات واقعی مورد سوءاستفاده قرار گرفتهاند.
همچنین این شرکت آسیبپذیریهای GreenPlasma و YellowKey را در بهروزرسانیهای Patch Tuesday ژوئن 2026 برطرف کرده است.
