Windows Defender Offline Scan nutzt 0-Day-Schwachstelle in GreatXML BitLocker-Bypass

Wenn ein Benutzer oder ein Angreifer einen Windows Defender Offline Scan auf einem Zielsystem startet, wird das System in eine spezielle Vor-Boot-Wiederherstellungsumgebung neu gestartet, um den Scan durchzuführen.

Diese Schwachstelle nutzt diesen Übergang aus: Wenn die Datei unattend.xml und ein speziell erstellter Recovery-Ordner im Root-Verzeichnis der Wiederherstellungspartition platziert werden und das System neu gestartet wird, um in den Windows-Recovery-Umgebung (WinRE) zu booten, wird automatisch eine Shell mit uneingeschränktem Zugriff auf das BitLocker-geschützte Volumen gestartet.

Die gemeinsam mit dem Proof-of-Concept (PoC) veröffentlichten Screenshots zeigen während der Defender Offline Scan-Sitzung eine aktive Administrator-Shell unter X:\Windows\System32.

Sicherheitslage und Risiko

Der Befehl manage-bde -status C: bestätigt, dass die Festplatte zu 100 % mit XTS-AES 128 verschlüsselt ist und der Schutzstatus „On" lautet, dennoch ist das Volumen vollständig zugänglich und entsperrt. GreatXML BitLocker Bypass 0-Day Exploit.

Die Schwachstelle bietet zwei unterschiedliche Ausnutzungspfade, abhängig davon, ob das betroffene System zuvor einen Defender Offline Scan durchgeführt hat: Automatisierte Ausnutzung (kein Login erforderlich): Hat das Opfer jemals einen Defender Offline Scan initiiert, ist das System sofort verwundbar.

Ein Angreifer mit physischem Zugriff kopiert einfach die Datei unattend.xml und das Recovery-Verzeichnis in das Wurzelverzeichnis der Wiederherstellungspartition und startet den Computer neu, indem er Shift + Neustart wählt.

Technischer Hintergrund

Dies erfordert eine vom Angreifer initiierte Scan-Aktion: Wenn kein vorheriger Offline-Scan durchgeführt wurde, muss der Angreifer entweder sich anmelden und den Scan selbst auslösen oder einen Weg finden, das System ohne Authentifizierung in den Offline-Scan-Modus, was der Forscher als wahrscheinlich erreichbar bewertet.

Dieses Vorgehen spiegelt das Angriffsmodell des kürzlich gepatchten YellowKey (CVE-2026-45585) BitLocker-Bypass wider, der ebenfalls WinRE ausnutzte, um verschlüsselte Datenträger über physischen Zugriff zu erreichen.

Jedes Windows-System mit aktiviertem BitLocker, das jemals einen Windows Defender Offline-Scan verwendet hat oder einem solchen unterzogen wurde, ist potenziell anfällig. Der Angriff funktioniert unabhängig davon, ob BitLocker nur mit TPM-Schlüssel-Schutz konfiguriert ist, was beim Bootvorgang keinen PIN-Schutz bietet.

Sicherheitslage und Risiko

Der Proof of Concept (PoC) wurde an Windows 10.0.26100.1 (Windows 11 24H2) demonstriert. Zum Zeitpunkt der Veröffentlichung wurde kein offizielles Patch für GreatXML herausgegeben. Der GreatXML-PoC wurde vom Forscher NightmareEclipse MSNightmare in mehreren Repositories veröffentlicht, darunter GitHub und unabhängige Git-Hosting-Plattformen.

Die öffentliche Verfügbarkeit des Exploit-Codes senkt die Einstiegshürde für opportunistische Bedrohungsakteure erheblich, insbesondere solche, die in Szenarien wie Laptop-Diebstahl, Insider-Bedrohungen oder Lieferketten-Kompromittierungen auf hochwertige Systeme abzielen.