Nightmare Eclipse, der bereits einige Schwachstellen in Microsoft Software offen gelegt hat, hat zum 10. Juni 2026 eine weitere Möglichkeit skizziert, auf Bitlocker-Laufwerke zuzugreifen. Die eher durch Zufall entdeckte Schwachstelle, die er GreatXML nennt, missbraucht den Offline Scan des Defenders, um auf mittels Bitlocker verschlüsselte Laufwerke zuzugreifen.
Über die durch Nightmare Eclipse offen gelegten 0-day-Schwachstellen in Microsoft Software hatte ich ja in den am Beitragsende verlinkten Blog-Beiträgen berichtet. Nun gibt es eine neue Veröffentlichung unter dem Begriff GreatXML, die in nachfolgendem Thread aufgegriffen wurde.

Sicherheitsforscher Steven Lim schreibt dazu, dass GreatXML eine Windows-Zero-Day-Schwachstelle ist, die BitLocker umgeht. Dazu werden die Wiederherstellungsumgebung (WinRE) von Windows und Defender-Offline-Scans ausgenutzt. Dadurch kann ein Angreifer eine uneingeschränkte Shell erlangen und ohne Anmeldedaten auf verschlüsselte Laufwerke zugreifen.
GreatXML: Ein Bitlocker Bypass
Nightmare Eclipse hat zum 10. Juni 2026 den Blog-Beitrag GreatXML a bitlocker bypass that seems to only work if you ever had Defender Offline Scan mit seiner neuesten Entdeckung veröffentlicht. Der Bitlocker Bypass GreatXML sei eine eher zufällige Entdeckung gewesen, schreibt er.
Die trivialen Details zur Ausnutzung des Bitlocker Bypass hat Nightmare Eclipse auf GitHub beschrieben. Die Schritte zur Reproduktion des GreatXML Bitlocker Bypasses sind denkbar einfach:

Defender Offline Scan mit geöffneter Eingabeaufforderung
- Auf dem Windows-Zielrechner ist ein Defender-Offline-Scan zu starten (siehe z.B. diese Microsoft Supportseite). Bei diesem Vorgang wird keine Benutzeranmeldung verlangt und der Rechner ist automatisch anfällig.
- Ein Angreifer muss lediglich während dieses Vorgangs die Datei unattend.xml und das Verzeichnis Recovery in das Stammverzeichnis der Wiederherstellungspartition (WinRE) kopieren. Zum Kopieren der Datei und des Ordners sollte sich eine Eingabeaufforderung verwenden lassen, die mit Shift+F10 geöffnet werden kann.
- Anschließend reicht es, mit Umschalt + Klick auf die Schaltfläche Neustart einen Neustart in WinRE durchzuführen.
Wurden die Schritte korrekt ausgeführt, bekommt der Angreifer eine Shell mit uneingeschränktem Zugriff auf das BitLocker-Volume (siehe folgende Abbildung).

Das Ganze erfordert allerdings, dass der Angreifer bereits Zugriff auf das System des Opfers hat und den Defender Offline-Scan starten kann. Dann konnte er auf die Bitlocker-Volume aber bereits zugreifen. Aus meiner Sicht ist die Schwachstelle daher schon ein wenig exotisch, man könnte sogar diskutieren, ob es überhaupt eine Schwachstelle ist, denn der Defender Offline Scan "works as designed" und wie häufig wird das genutzt?
Wurde der Defender-Offline-Scan bisher nie gestartet, müssen Angreifer sich entweder am System anmelden und den Defender-Offline-Scan selbst starten. Oder sie müssen einen Weg finden, im Offline-Scan-Modus in WinRE zu booten und die oben genannten Schritte befolgen, schreibt Nightmare Eclipse.
Ergänzung: In den Kommentaren wird berichtet, dass der Blog von Nightmare Eclipse nicht mehr erreichbar ist. Ich kann die Seite derzeit (12.6.2026, 20:36 Uhr noch erreichen). Nightmare Eclipse bestätigt hier, dass auch Google seine Posts auf blogger.com / aka blogspot.com löscht. Immerhin hat er von Google eine E-Mail bekommen.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
BlackHat 2026 in Vegas: Tritt das MSRC gerade in das nächste Fettnäpfchen?
Windows: Details zur Bitlocker-Schwachstelle "Bitskrieg"
Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt



MVP: 2013 – 2016





Naja, diese Schwachstelle hat noch einen Effekt:
Man hebelt damit das Sicherheitssystem bzgl. der Benutzerrechte aus.
D.H. man bekommt auch Zugriff auf die Benutzerprofilverzeichnisse anderer Benutzer auf dem Rechner und wohl auch Systemrechte.
Man kann also auch Dinge auf dem Rechner tun, für die man normalerweise keine Berechtigungen hat.
Noch besser so kommst du an die Hast Passwörter. Sollte dort ein Domänen Admin liegen kannst du das Hash Passwort holen und dann für weitere Angriffe nutzen.
Pass the Hash Angriffe werden damit wieder richtig lohnend.
Auf einem Arbeitsplatzrechner hat sich kein Domänen-Admin anzumelden!
Dafür gibt es LAPS.
Man meldet sich da mit eimem temporären Passwort als lokaler Admin am Rechner an.
Klaut jemand den Rechner, hilft ein Hash des Passworts auch nicht weiter, da das Passwort ja nur eine begrenzte Gültigkeitsdauer hat.
Und die sollte nur wenige Stunden betragen.
Und um einen lokalen Zugriff auf das Gerät zu nlockieren sollte man ein BIOS/UEFI-Password einrichten und aktivieren. Und natürlich das Booten per PXE, USB und Wechseldatenträger (CD/DVD) abschalten.
Bei den Bootmedien darf nur noch die lokale Festplatte/der Bootloader drin stehen.
Im Übrigen:
Die ganze Bitlocker-Thematik betrifft Server nicht, denn bei allen Windows Server-Versionen ist Bitlocker nicht nur nicht aktiv, sondern gar nicht installiert!
Will man das haben, muss man es per Servermanager erst installieren.
Microsoft hält es wohl bei Servern für unnötig, da die ja eh in einer besonders geschützen Umgebung stehen, zu der nur sehr wenige Personen Zugang haben. Bzw. so sollte es sein.
Niemand außer Admins sollte physischen Zugang zu Servern haben.
In vielen Unternehmen ist das aber nicht der Fall.
Und da sollte man dann Bitlocker auf dem Hostsystem installieren und aktivieren.
Ggfs. als Ergänzung: Selbst ohne LAPS hat man eine Policy auf alle Member der Domain (zu haben) die sämtliche Logon Rechte (bspw.) der Domain Admins (bzw. "Enterprise Admins") auf Deny konfiguriert. Zusätzlich nutzt man dann "für weitere privilegierte Konten" noch die Gruppe der Protected Users.
Am Ende: Wer will kann mit Microsoft Bordmitteln schon durchaus sinnvolle Dinge tun und viel "Freude" haben. (Auch wenn das nicht jeder wahrhaben will. :))
Im AD kann man auch konfigurieren, auf welche PCs ein Account Zugriff hat.
Standardmäßig darf man sich auf allen PCs in der Domäne anmelden.
Das sollte man man unterbinden.
Ein Benutzer von Abteilung A sollte sich nicht an einem PC in Abteilung B anmelden können.
Idealerweise darf er sich nur am eigenen PC anmelden und an keinem anderen PC.
Das schützt auch von Hackingversuchen mit geklauten Credentials.
Der Hacker mit den geklauten Credentials kann sich nicht in der Domäne anmelden, da er ja nicht am erlaubten PC sitzt.
Und zusätzlich sollte man auch die Anmeldezeiten auf die üblichen Geschäftszeiten beschränken.
Das schützt dann auch, wenn ein Hacker sich mit den geklauten Credentials vor Ort außerhalb der Geschäftszeiten anmelden will.
Aber 90% aller AD-Umgebungen sind ziemlich unsicher konfiguriert. Da verwundern diese vielen erfolgreichen Phishing- und Hackingversuche nicht.
sofern nicht von einem Domaincontroller gesprochen wird, bringt ein Hash von einem cached credential nichts. Dieser ist x Fach gesalzen, was eine Verwendung ausserhalb des angedachten Zweckes verunmöglicht.
Die Gefahr eines Domainadmin Login auf einer unproivilegierten Maschine ist während des Logins. Ein parallel als System laufender Dienst kann nämlich dann den wirklich nutzbaren Hash auslesen.
Da muss man ja eigentlich auch physisch Zugang haben. Das erfordert schon einiges an krimineller Energie würde ich sagen. Auch hier scheint das Mittel der Wahl WinRE abzudrehen.
Aber angeblich solls ja auch ohne WinRE gehen. Wie das ganze dann ausehen soll, wenn nur von Disk / PXE gebootet werden kann… ich lass mich überraschen.
Also einen für einen kurzen Moment unbeaufsichtigt herumliegenden Notebook einzusacken benötigt nicht mehr kriminelle Energie als ein Ladendiebstahl. Es zeigt sich erneut, wer sich auf MS verläßt ist verlassen. Daher nutze ich kein Bitlocker und keinen Defender. Es gibt dafür andere Software, die weniger problematisch ist (vlt. auch weil nicht so verbreitet und daher weniger interessant).
Es geht hier sicher nicht um den festen PC am Arbeitsplatz, sondern primär um Laptops und Tablets die sich regelmäßig außerhalb der Firma befinden. Die kommen schnell mal abhanden und genau für solche Szenarien richtet man Bitlocker ein um zu mindestens die Daten auf dem Gerät zu schützen.
Dazu kann man aber auch die Ggeräteeigene Verschlüsselung nutzen.
Die Notebooks haben das schon seit den 90er, daß man ein Startpasswort, wie auch Passwörter für die verbauten Datenträger vergeben kann.
Das heißt, wenn das Gerät abhanden kommt, und für die verbauten Datenträger beim Starten ein Passwort zur Freischaltung verlangt wird, sind die Datenträger erstmal geschützt.
Ich habe bei all meinen Notebooks sowohl ein Startpasswort und Passwörter für die verbauten Datenträger vergeben.
Gut, mir ist noch nie ein Notebook abhanden gekommen.
"Notebooks have had this feature since the 1990s"
lol … nope. If you mean "disk encryption" in bios … there is none. Its "disk locking" and work as placebo. In reality, you can "unlock" disk with money. For example lenovo wont about $5k for disk unlocking. And you not need them for that.
In final, this functionality is sata only, not work on nvme.
Disk encryption is intended to prevent someone who gains physical access to the disk from accessing the data, which somehow doesn't work for MS systems.
hat einen Haken: setzt die win RE Partition vorraus. löscht man die… Pech
ich habe die seit dem gedödel dass die Partition aus unerfindlichen Gründen immer fetter wurde, deaktiviert und gelöst.
You can boot from any other media, other disk, other usb …
"Das Ganze erfordert allerdings, dass der Angreifer bereits Zugriff auf das System des Opfers hat……"
Für jedes andere Szenario macht eine Bitlocker Verschlüsselung auch keinen Sinn.
Und auch hierbei funktioniert das Ganze nur wieder mit Bitlocker ohne PIN, oder?
Jein. Man kann den Bootvorgang so manipulieren, dass ins WinRE und nicht in das eigentliche Windows gebootet wird.
Der Dialog zur Abfrage der PIN ist für den User dabei genau der gleiche. Er gibt deshalb nichtsahnend seine PIN ein und danach läuft das ab was der Angreifer will.
Der Angreifer manipuliert dabei z. B. das entriegelte Hauptsystem auf der Systempartition so, dass es ihm später alles per Internet nach Hause schickt oder liest den Recoverykey vom Bitlocker aus und speichert ihn für einen zweiten Besuch auf der ESP oder Recovery Partition ab.
Einfacher dürfte es als Angreifer aber sein gleich den blauen Bildschirm zum Abgreifen des Recoverykeys anzeigen zu lassen. Den kennt mittlerweile ja fast jeder und man sucht dann halt den depperten Recoverykey raus oder ruft ihn im Internet von Microsoft oder per Telefon vom Administrator ab weil das blöde Windows warum auch immer gerade wieder einmal nicht richtig booten will. Erfolgsquote würde ich schätzen mindestens 90 Prozent.
Wurde inzwischen https: // deadeclipse666.blogspot.com abgeschaltet? Kann die Seite nicht aufrufen.
Ich komme problemlos auf die Seite (obwohl blogspot.com von Google betrieben wird – hab da selbst noch uralte Spielkonten aus 2003).
Vom Handy komme ich drauf, aus dem Firmennetz nicht. Das dürfte aber eher am uns liegen. Seite ist also nach die vor online.
PS: Seit wann ist die E-Mailadresse hier ein Pflichtfeld?
Seit gestern ist die E-Mail-Adresse ein Pflichtfeld (nutzt einfach eine Freemail-Adresse oder eine mit SPAM-Alias, oder eine Wegwerf-Adresse). Ich habe es in der Seite "Kommentieren im Blog" nachgetragen. Ich konnte 19 Jahre eine vollständig anonyme Kommentierung, ohne dass Name und E-Mail-Adresse anzugeben waren, hier im Blog aufrecht erhalten. Leider meinen einige Zeitgenossen seit 2 Monaten, hier anonym ihren Schund abladen zu müssen. Führte dann zu der absurden Situation, dass Anonym sich mit Anonym in den Kommentaren beharkt haben, und bei mir die Beschwerden anderer Nutzer eingeschlagen sind.
Ich habe dann die Reißleine gezogen und die betreffende Option in WordPress, dass Benutzername und E-Mail-Adresse bei Kommentaren Pflicht sind, setzen müssen (es gibt leider keine Einzeloptionen, sonst hätte ich die E-Mail-Pflicht nicht aktiviert). Ist schade: 99% der Besucher hier im Blog verhalten sich vorbildlich, aber weniger als 1 % macht das dann mit ihrem Verhalten alles kaputt. Daher werde ich auch alle Kommentare, die dann "Anonym" im Namensfeld eintragen, schlicht löschen.
Also hier funktioniert die nicht komplett. Firefox kann die Seite nicht finden, DNS-Fehler.
Mit dem google DNS 8.8.8.8 löst die Adresse auf, mit Cloudflares 1.1.1.1 auch, mit Quad9 (9.9.9.9 / 149.112.112.112) aber z.B. nicht (Non-existent domain). Wurden die vielleicht seitens MS über die hiesige Staatsanwaltschaft genötigt, eine "DNS-Sperre" einzurichten oder machen die das aus eigenem Antrieb?
deadeclipse.blogspot.com löst auch mit Quad9 auf, ist aber zwecklos, der Blog wurde gelöscht.
Ist ja auch deadeclipse666.blogspot.com und nicht deadeclipse.blogspot.com. Hier kann ich die betreffenden Beiträge aufrufen.
Das habe ich ja exakt so gemeint, mich dabei aber vielleicht vermissständlich geausdrückt.
Nochmal in Kürze:
deadeclipse666.blogspot.com
Google-DNS = ok
Cloudflare-DNS = ok
Quad9-DNS = Non-existent
Die Seite ist online, wird aber von Quad9 und evtl. anderen DNS nicht aufgelöst.
deadeclipse.blogspot.com
Google-DNS = ok
Cloudflare-DNS = ok
Quad9-DNS = ok
Diese Seite ist nicht hilfreich, weil abgeschaltet.
Nightmare Eclipse bestätigt hier, dass auch Google seine Posts auf blogger.com / aka blogspot.com löscht. Immerhin hat er von Google eine E-Mail bekommen.
auch wenn sich Google als willfähriger Vasall von M$ zeigt, das Internet vergißt nichts:
https://web.archive.org/web/20260520184528/https://github.com/Nightmare-Eclipse
Github hat aber mit Google nichts zu tun.
er meint wohl den Google DNS?
Will Dormann hat schon vor ein paar Tagen darauf hingewiesen, dass man den Defender Offline Scan nur mit erweiterten Administratorrechten starten kann, weil man sonst weder Recovery Partition noch ESP mounten darf.
Funktioniert als einfacher User also nur, wenn ein Administrator die Recovery Partition warum auch immer zuvor bereits explizit eingebunden hat.
Ist man bereits mit erweiterten Administratorrechten unterwegs braucht man den Umweg nicht. Man hat ja eh schon auf alles Zugriff.
Also keine LPE in eigentlichen Sinn.
unattended.xml sieht MSFT als Feature und keinen Bug. Dürfte sich also wenig bis nichts daran ändern.