Lỗ hổng Zero-day "GreatXML" có thể vượt qua BitLocker và chiếm quyền SYSTEM trên Windows
Nhà nghiên cứu bảo mật Nightmare Eclipse vừa công bố khai thác zero-day mới mang tên GreatXML, cho phép vượt qua mã hóa BitLocker và giành quyền hệ thống (SYSTEM) trên Windows. Lỗ hổng này tận dụng tính năng quét ngoại tuyến của Microsoft Defender để thực thi mã độc khi máy khởi động vào Recovery Mode.
Lỗ hổng Zero-day "GreatXML" có thể vượt qua BitLocker và chiếm quyền SYSTEM trên Windows
Nhà nghiên cứu bảo mật Nightmare Eclipse vừa công bố khai thác zero-day mới mang tên GreatXML, cho phép vượt qua mã hóa BitLocker và giành quyền hệ thống (SYSTEM) trên Windows. Lỗ hổng này tận dụng tính năng quét ngoại tuyến của Microsoft Defender để thực thi mã độc khi máy khởi động vào Recovery Mode.
Windows 10
Cơ chế hoạt động của GreatXML
Được công bố chỉ một ngày sau khi phát hiện lỗ hổng RoguePlanet nhắm vào Microsoft Defender, GreatXML là một khai thác bằng chứng khái niệm (PoC) nhắm vào lỗ hổng trong chức năng quét ngoại tuyến (offline scan) của Defender.
Theo Nightmare Eclipse, bất kỳ hệ thống nào đã từng khởi chạy tính năng quét ngoại tuyến ít nhất một lần đều tự động trở nên dễ bị tổn thương. Để thực hiện khai thác, kẻ tấn công cần sao chép một tệp XML và một thư mục Recovery (chứa một tệp XML khác) vào thư mục gốc của phân vùng phục hồi (recovery partition) của máy tính.
Sau đó, hệ thống cần được khởi động lại vào Recovery Mode bằng cách giữ phím Shift và nhấn nút Restart. Khi hệ thống khởi động lại, người dùng sẽ có quyền truy cập không giới hạn vào ổ đĩa được bảo vệ bởi BitLocker, bao gồm cả khả năng mở một dòng lệnh (command prompt) với quyền SYSTEM.
Điều kiện tiên quyết và rủi ro
Điểm mấu chốt của cuộc tấn công này là việc Microsoft Defender phải đã thực hiện quét ngoại tuyến trên máy tính.
"Nếu Defender chưa từng thực hiện quét ngoại tuyến, bạn sẽ phải đăng nhập và tự kích hoạt nó, hoặc tìm cách khởi động vào WinRE ở trạng thái quét ngoại tuyến (tôi tin rằng điều này hoàn toàn khả thi mà không cần đăng nhập)", nhà nghiên cứu giải thích.
Điều này có nghĩa là bất kỳ máy Windows nào cũng có thể bị GreatXML tấn công ngay khi Defender thực hiện quét ngoại tuyến. Kẻ tấn công chỉ cần kích hoạt chức năng này trước khi thực hiện khai thác.
Bối cảnh và phản hồi từ Microsoft
Nightmare Eclipse, hay còn được biết đến với tên Chaotic Eclipse, đã liên tục công bố các khai thác cho nhiều lỗ hổng zero-day khác nhau của Windows sau khi bày tỏ sự không hài lòng về cách Microsoft đối xử với các nhà nghiên cứu tham gia chương trình tiết lộ lỗ hổng của hãng.
Microsoft hiện đang nỗ lực khắc phục các lỗ hổng đã được công bố rộng rãi, bao gồm BlueHammer, RedSun và UnDefend. Công ty cũng đã vá các lỗ hổng GreenPlasma và YellowKey trong bản cập nhật Patch Tuesday tháng 6 năm 2026.
Sự xuất hiện của GreatXML một lần nữa nhắc nhở cộng đồng người dùng về tầm quan trọng của việc cập nhật bản vá bảo mật và giám sát chặt chẽ các quyền truy cập vật lý đối với thiết bị.