Un hacker asegura haber vulnerado BitLocker en cuatro horas; Microsoft guarda silencio y los expertos se muestran escépticos
Nightmare-Eclipse publicó un método para eludir BitLocker mediante el Entorno de recuperación de Windows.
A veces la protección se vulnera no por un ataque complejo, sino por una combinación inusual de funciones estándar de Windows. Un especialista bajo los seudónimos Chaotic Eclipse, Nightmare-Eclipse y MSNightmare publicó un nuevo método para eludir BitLocker, llamado GreatXML y, según él, permite acceder a un volumen cifrado a través del entorno de recuperación de Windows.
Chaotic Eclipse afirma que encontró el problema por casualidad en apenas cuatro horas. Según su versión, podrían ser vulnerables los sistemas en los que al menos una vez se ejecutó una comprobación sin conexión de Microsoft Defender. Para el ataque es necesario colocar archivos XML preparados en la raíz de la partición de recuperación y luego reiniciar el equipo en el entorno de recuperación de Windows. Si las acciones se realizan correctamente, se abre una consola de comandos con acceso al volumen protegido por BitLocker.
Por ahora el peligro de GreatXML parece discutible. El especialista Will Dormann verificó los pasos publicados y calificó la descripción como incorrecta. En sus pruebas la consola de comandos aparecía solo al ejecutar a continuación una comprobación sin conexión de Microsoft Defender. Para iniciar esa comprobación, el usuario debe haber iniciado sesión en Windows y tener privilegios de administrador. En tal situación, según Dormann, un atacante podría desactivar BitLocker con las herramientas estándar incluso sin GreatXML.
El propio Chaotic Eclipse admite que si la comprobación sin conexión de Microsoft Defender no se había ejecutado antes, el atacante tendría que activarla manualmente o encontrar otra forma de iniciar el entorno de recuperación en el modo necesario. Eso reduce notablemente el valor práctico del ataque, aunque no elimina por completo las dudas sobre el comportamiento de Windows al trabajar con la partición de recuperación.
GreatXML apareció solo un día después de que Chaotic Eclipse publicara otro código relacionado con la vulnerabilidad RoguePlanet en Microsoft Defender. Ese problema, según el autor, permite elevar privilegios al nivel SYSTEM y ejecutar acciones arbitrarias en el equipo.
El nuevo método para eludir BitLocker es ya el segundo hallazgo similar de Chaotic Eclipse después de YellowKey, también conocida como CVE-2026-45585 (CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 6.8 Medium). Microsoft publicó correcciones para YellowKey como parte de su conjunto de actualizaciones programadas. Según Microsoft, las vulnerabilidades anteriores de este autor no se comunicaron a la empresa por canales oficiales antes de su divulgación pública.
Microsoft ya informó que investiga las afirmaciones sobre RoguePlanet. Al momento de la publicación no había un comentario independiente sobre GreatXML por parte de la empresa. Por eso, por ahora los usuarios deben instalar las actualizaciones recientes de Windows y ser cautelosos con las nuevas afirmaciones sobre eludir BitLocker, especialmente cuando las condiciones del ataque aún están siendo verificadas por especialistas independientes.