¿Revisaste el sistema en busca de virus? Enhorabuena: ahora tu BitLocker puede eludirse en cuestión de minutos
El ataque de GreatXML convirtió las protecciones habituales de Windows en una puerta trasera.
El cifrado de disco protege los datos únicamente hasta que el entorno de recuperación se convierte en el eslabón débil. El controvertido especialista Nightmare Eclipse reveló una nueva vulnerabilidad en Windows — GreatXML. Esta permite eludir BitLocker mediante el mecanismo de análisis fuera de línea de Windows Defender y el entorno de recuperación de Windows, WinRE.
El problema afecta a escenarios en los que el sistema ya ejecutó el análisis fuera de línea de Windows Defender. Según el autor, tras esa comprobación el equipo puede quedar en un estado debilitado, y una persona con acceso físico al dispositivo puede acceder al volumen cifrado sin introducir la contraseña ni la clave de recuperación.
El ataque no se basa en romper el cifrado, sino en abusar de etapas de arranque de confianza. El atacante coloca un archivo preparado unattend.xml y un directorio Recovery modificado en la raíz de la partición de recuperación, y luego hace que el sistema arranque en WinRE, por ejemplo mediante Shift + Reiniciar. El entorno de recuperación procesa la configuración maliciosa y lanza una shell de comandos privilegiada con acceso a la partición protegida por BitLocker.
Un riesgo adicional está relacionado con la supuesta persistencia del estado. Nightmare-Eclipse afirma que cualquier sistema en el que se haya ejecutado al menos una vez el análisis fuera de línea de Windows Defender se vuelve vulnerable. Para los equipos en los que la función no se ha usado, la posible vía mediante la ejecución forzada o simulada del análisis fuera de línea se describe de manera menos clara.
Al momento de la publicación, GreatXML no tiene un identificador CVE oficial, y Microsoft no ha confirmado públicamente el problema. La vulnerabilidad es especialmente peligrosa para portátiles perdidos o robados, así como para entornos en los que personas no autorizadas puedan tener acceso físico a los dispositivos.
Hasta la aparición de correcciones oficiales, se aconseja a los administradores que sigan las actualizaciones de Microsoft, limiten el acceso físico a los dispositivos, verifiquen el uso de WinRE y revisen las políticas de ejecución del análisis fuera de línea de Windows Defender. Las organizaciones que dependen de BitLocker para proteger estaciones de trabajo también deberían considerar los ataques al entorno de recuperación en sus modelos de amenaza.