GreatXML Bypass: So entschlüsselt ein Zero-Day Ihre Laufwerke in Minuten

Hier ist die schrittweise Angriffskette:

1. Die versteckte Voraussetzung: Der Microsoft Defender-Offline-Scan muss mindestens einmal auf dem Zielgerät ausgeführt worden sein. Diese Aktion hinterlässt legitime Artefakte auf der Wiederherstellungspartition, einschließlich einer XML-basierten Konfigurationsdatei und eines Recovery-Verzeichnisses . Diese Artefakte dienen dem Angreifer als Einstiegspunkt.
2. Die schädlichen Dateien platzieren: Mit kurzzeitigem physischem Zugriff auf das Gerät kopiert der Angreifer eine speziell präparierte XML-Datei und einen manipulierten Recovery-Ordner direkt auf die Wiederherstellungspartition .
3. Der Auslöser durch Neustart: Das Gerät wird in die Windows-Wiederherstellungsumgebung (WinRE) neu gestartet. Da diese Umgebung und ihre Konfigurationsdateien als vertrauenswürdig gelten, gibt BitLocker den Volume-Verschlüsselungsschlüssel preis, ohne nach einem Passwort, einer PIN oder dem Wiederherstellungsschlüssel zu fragen .
4. Zugriff auf die SYSTEM-Shell: Die präparierte XML-Datei wird beim Start automatisch verarbeitet und öffnet eine Eingabeaufforderung mit

   NT AUTHORITY\SYSTEM

   -Rechten. Aus dieser Shell heraus kann ein Angreifer jede Datei auf dem verschlüsselten Laufwerk lesen, kopieren oder verändern .

Hive Security beschreibt das Problem treffend: Die Datei „tat genau das, wofür sie entwickelt wurde – nur in den falschen Händen, zur falschen Zeit, in der einen Umgebung, der BitLocker vertraut, die Schlüssel in Ruhe zu lassen“ .

Das größere Bild: Nightmare Eclipses eskalierende Kampagne

Bei GreatXML handelt es sich nicht um eine isolierte Veröffentlichung. Es ist der siebte Zero-Day, den Nightmare Eclipse seit April 2026 öffentlich macht. Der Sicherheitsforscher liefert sich seit Monaten eine öffentliche Fehde mit Microsoft über den Umgang des Konzerns mit Schwachstellenmeldungen . Der Forscher veröffentlicht jede Sicherheitslücke zusammen mit einem funktionsfähigen Proof of Concept (PoC) – eine Praxis, die Microsoft als „unnötiges Risiko für Kunden“ verurteilt .

Hier ist die vollständige Chronologie der Enthüllungen von Nightmare Eclipse im Jahr 2026 und ihr Status (Stand Mitte Juni):

BlueHammer war eine lokale Rechteausweitung (LPE) im Windows Defender mit einem CVSS-Score von 7,8 . RedSun und UnDefend griffen die Cloud-Dateiwiederherstellung bzw. die Signaturupdate-Mechanismen des Defenders an . YellowKey war ein früherer BitLocker-Bypass, und GreenPlasma ein CTFMON-basierter LPE, der SYSTEM-Zugriff gewährt .

Der zuletzt vor GreatXML veröffentlichte Exploit, RoguePlanet, nutzt eine Time-of-Check to Time-of-Use (TOCTOU) Race Condition in Microsoft Defender, um selbst auf vollständig gepatchten Systemen SYSTEM-Rechte zu erlangen .

Patch-Day im Juni 2026: Wer wurde geflickt?

Microsofts Patch-Day am 9. Juni 2026 stopfte über 200 Sicherheitslücken, darunter sechs Zero-Days . Von den durch Nightmare Eclipse veröffentlichten Exploits wurden zwei behoben:

• GreenPlasma (CVE-2026-45586) wurde gepatcht .
• YellowKey (CVE-2026-50507) wurde gepatcht .

Sowohl RoguePlanet als auch GreatXML blieben in dem Update jedoch unberücksichtigt. Nach jüngsten Berichten gibt es für keinen der beiden einen offiziellen Patch oder eine CVE-Zuweisung .

Wer ist durch diesen Angriff gefährdet?

Das Profil eines gefährdeten Systems ist überraschend gewöhnlich. Der Exploit betrifft jedes Windows-Gerät, das ausschließlich TPM zum Entsperren (TPM-only) von BitLocker verwendet und auf dem der Microsoft Defender-Offline-Scan mindestens einmal ausgeführt wurde .

Im Nur-TPM-Modus übergibt das Trusted Platform Module (TPM) den Entschlüsselungsschlüssel beim Booten automatisch. Deshalb funktioniert der Exploit nahtlos, sobald der Rechner gezwungen wird, in die als vertrauenswürdig geltende WinRE-Umgebung zu booten. Der Angreifer muss weder ein Passwort kennen noch im Besitz des Wiederherstellungsschlüssels sein – lediglich physischer Zugriff auf den Laptop oder die Workstation und genug Zeit für einen einzigen Neustart reichen aus .

Das macht vor allem Laptops, tragbare Workstations und andere Mobilgeräte zu bevorzugten Zielen für Unternehmensdiebstähle oder einen kurzen „Evil-Maid“-Angriff. Server sind ebenfalls betroffen, wenngleich die Notwendigkeit physischen Zugriffs sie in den meisten Bedrohungsmodellen zu weniger wahrscheinlichen Zielen macht.

Sicherheitsmaßnahmen bis ein Fix von Microsoft verfügbar ist

Es gibt keinen offiziellen Patch für GreatXML. Unternehmen sollten sofort kompensierende Maßnahmen ergreifen, anstatt auf Microsoft zu warten .

1. Von Nur-TPM auf TPM+PIN-Authentifizierung umstellen. Dies ist die effektivste Übergangslösung. Wenn Sie BitLocker so konfigurieren, dass ein TPM mit PIN (oder TPM plus USB-Startschlüssel) erforderlich ist, wird die Festplatte auch dann nicht entsperrt, wenn ein Angreifer das Gerät in WinRE neu startet, da ohne PIN kein Zugriff möglich ist .
2. Applikations-Whitelisting einsetzen. Lösungen wie ThreatLocker können so konfiguriert werden, dass sie nicht autorisierte Binärdateien, Skripte und XML-basierte Setup-Dateien an der Ausführung in der Wiederherstellungsumgebung hindern und so die Ausführungskette des Angriffs unterbrechen .
3. Physische Sicherheit für hochriskante Geräte erhöhen. Betrachten Sie jedes Gerät, auf dem jemals ein Defender-Offline-Scan durchgeführt wurde, als inhärent verwundbar. Verstärken Sie Maßnahmen zur physischen Zugangskontrolle und überwachen Sie das Gerät auf unautorisierte Zugriffe, bis ein Patch zur Verfügung steht .
4. Die eigene Umgebung überprüfen. Stellen Sie fest, auf welchen Rechnern ein Offline-Scan ausgeführt wurde. Ohne diese Voraussetzung kann der Exploit nicht vorbereitet werden. Die Identifizierung dieser Geräte hilft dabei, dringende Schutzmaßnahmen zu priorisieren.

Die Security-Community betrachtet GreatXML als technisch plausiblen, öffentlich zugänglichen Exploit mit unvollständiger externer Validierung . Für Verteidigungsteams bedeutet das: Die sicherste Annahme ist, dass jedes infrage kommende System bis zum Beweis des Gegenteils als ausnutzbar gilt.