GreatXML: El Exploit que Puede Desbloquear tu Disco BitLocker en Minutos

Esta es la cadena de ataque paso a paso:

1. El requisito previo oculto: El 'Examen sin conexión de Microsoft Defender' debe haberse iniciado al menos una vez en el equipo objetivo. Esta acción deja artefactos legítimos en la partición de recuperación, incluyendo un archivo de configuración basado en XML y un directorio de recuperación . Estos artefactos son los que dan el punto de entrada al exploit.
2. Colocación de los archivos maliciosos: Con un breve acceso físico al equipo, el atacante copia un archivo XML especialmente manipulado y una carpeta de recuperación modificada directamente en la partición de recuperación .
3. El reinicio como detonante: La máquina se reinicia en el modo de recuperación de Windows (WinRE). Dado que el entorno de recuperación y sus archivos de configuración se consideran una fuente fiable del flujo de trabajo del 'Examen sin conexión de Defender', BitLocker libera la clave de cifrado del volumen sin pedir contraseña, PIN ni clave de recuperación .
4. Obtención del shell de SISTEMA: El archivo XML manipulado se procesa automáticamente al inicio, lo que desencadena una consola de comandos que se ejecuta con privilegios de

   NT AUTHORITY\SYSTEM

   . Desde ese shell, un atacante puede leer, copiar o modificar cada archivo de la unidad cifrada .

Como bien lo describe Hive Security, el archivo "hizo exactamente aquello para lo que fue diseñado, solo que en las manos equivocadas, en el momento equivocado y dentro del único entorno en el que BitLocker confía para no tocar las llaves" .

El Panorama General: La Campaña en Escalada de Nightmare Eclipse

GreatXML no es una revelación aislada. Se trata del séptimo 'día cero' publicado desde abril de 2026 por Nightmare Eclipse, un investigador que mantiene una disputa pública que ya dura meses con Microsoft por su gestión del proceso de divulgación de vulnerabilidades . El investigador ha publicado cada fallo junto a una prueba de concepto (PoC) funcional, una práctica que Microsoft ha condenado por poner a sus clientes "en un riesgo innecesario" .

Esta es la cronología completa de las divulgaciones de Nightmare Eclipse en 2026, junto con su estado actual a mediados de junio:

BlueHammer era una vulnerabilidad de escalada de privilegios locales (LPE) en Windows Defender con una puntuación CVSS de 7.8 . RedSun y UnDefend atacaban los mecanismos de reversión de archivos en la nube y de actualización de firmas de Defender, respectivamente . YellowKey era un bypass de BitLocker anterior, y GreenPlasma era una vulnerabilidad de escalada de privilegios basada en CTFMON que otorgaba acceso como "SYSTEM" .

El más reciente, RoguePlanet, publicado un día antes de GreatXML, explotaba una condición de carrera de tiempo de verificación a tiempo de uso (TOCTOU) en Microsoft Defender para obtener privilegios de SYSTEM en sistemas completamente actualizados .

Martes de Parches de Junio de 2026: ¿A quiénes arregló?

El 'Martes de Parches' de Microsoft del 9 de junio de 2026 corrigió más de 200 vulnerabilidades, incluidos seis 'días cero' . De los exploits divulgados por Nightmare Eclipse, solo dos fueron corregidos:

• GreenPlasma (CVE-2026-45586) fue parcheado .
• YellowKey (CVE-2026-50507) fue parcheado .

Sin embargo, tanto RoguePlanet como GreatXML quedaron fuera de la actualización. Según los últimos informes, ninguno tiene un parche oficial o un CVE asignado .

¿Quién es Vulnerable a Este Ataque?

El perfil de un sistema vulnerable es sorprendentemente común. El exploit afecta a cualquier dispositivo Windows que use BitLocker en modo 'solo TPM' y en el que se haya ejecutado al menos una vez el 'Examen sin conexión de Microsoft Defender' .

En el modo 'solo TPM' (Trusted Platform Module), el módulo de plataforma segura entrega la clave de cifrado automáticamente durante el arranque, razón por la cual el exploit funciona de forma transparente una vez que la máquina es forzada a entrar en el entorno WinRE de confianza. El atacante no necesita conocer una contraseña ni poseer una clave de recuperación, tan solo necesita tener acceso físico al portátil o a la estación de trabajo y el tiempo justo para un reinicio .

Esto convierte a los portátiles, las estaciones de trabajo móviles y otros dispositivos portátiles en los objetivos principales para el robo empresarial o un breve ataque del estilo "doncella malvada" (acceso físico malicioso). Los servidores también se ven afectados, aunque el requisito de acceso físico los convierte en objetivos menos probables en la mayoría de los modelos de amenaza.

Mitigaciones Hasta que Microsoft Publique una Solución

No existe un parche oficial para GreatXML. Las organizaciones deben implementar controles compensatorios de inmediato en lugar de esperar a que Microsoft actúe .

1. Cambiar de autenticación 'solo TPM' a 'TPM+PIN'. Esta es la única mitigación más eficaz. Configurar BitLocker para que requiera un TPM con un PIN (o TPM más una llave de inicio USB) significa que, incluso si un atacante reinicia el dispositivo en WinRE, el disco no se desbloqueará sin el PIN .
2. Aplicar controles de listas blancas de aplicaciones. Soluciones como ThreatLocker se pueden configurar para bloquear la ejecución de archivos binarios, scripts y archivos de configuración basados en XML no autorizados en el entorno de recuperación, rompiendo así la cadena de ejecución del ataque .
3. Reforzar la seguridad física de los dispositivos de alto riesgo. Trate cualquier dispositivo que se haya sometido alguna vez a un 'examen sin conexión de Defender' como si tuviera una vulnerabilidad permanente. Refuerce los controles de acceso físico y supervise las manipulaciones no autorizadas hasta que haya un parche disponible .
4. Auditar su entorno. Determine qué equipos han ejecutado un escaneo sin conexión. Sin ese prerrequisito, el exploit no puede llevarse a cabo, por lo que identificar esos dispositivos ayuda a priorizar la mitigación inmediata.

La comunidad de seguridad está tratando a GreatXML como un exploit técnicamente plausible y disponible públicamente, aunque con una validación externa aún incompleta . Para los equipos defensivos, esto significa que la suposición más segura es que cada sistema que cumple los requisitos es explotable hasta que se demuestre lo contrario.