GreatXML: Bitlocker Bypass mittels Defender Offline Scan

Veröffentlicht am 11. Juni 2026 von Günter Born

WindowsNightmare Eclipse, der bereits einige Schwachstellen in Microsoft Software offen gelegt hat, hat zum 10. Juni 2026 eine weitere Möglichkeit skizziert, auf Bitlocker-Laufwerke zuzugreifen. Die eher durch Zufall entdeckte Schwachstelle, die er GreatXML nennt, missbraucht den Offline Scan des Defenders, um auf mittels Bitlocker verschlüsselte Laufwerke zuzugreifen.

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)

Über die durch Nightmare Eclipse offen gelegten 0-day-Schwachstellen in Microsoft Software hatte ich ja in den am Beitragsende verlinkten Blog-Beiträgen berichtet. Nun gibt es eine neue Veröffentlichung unter dem Begriff GreatXML, die in nachfolgendem Thread aufgegriffen wurde.

GreatXML Bitlocker Bypass

Sicherheitsforscher Steven Lim schreibt dazu, dass GreatXML eine Windows-Zero-Day-Schwachstelle ist, die BitLocker umgeht. Dazu werden die Wiederherstellungsumgebung (WinRE) von Windows und Defender-Offline-Scans ausgenutzt. Dadurch kann ein Angreifer eine uneingeschränkte Shell erlangen und ohne Anmeldedaten auf verschlüsselte Laufwerke zugreifen.

GreatXML: Ein Bitlocker Bypass

Nightmare Eclipse hat zum 10. Juni 2026 den Blog-Beitrag GreatXML a bitlocker bypass that seems to only work if you ever had Defender Offline Scan mit seiner neuesten Entdeckung veröffentlicht. Der Bitlocker Bypass GreatXML sei eine eher zufällige Entdeckung gewesen, schreibt er.

Die trivialen Details zur Ausnutzung des Bitlocker Bypass hat Nightmare Eclipse auf GitHub beschrieben. Die Schritte zur Reproduktion des GreatXML Bitlocker Bypasses sind denkbar einfach:

GreatXML Defender Offline Scan
Defender Offline Scan mit geöffneter Eingabeaufforderung

  • Auf dem Windows-Zielrechner ist ein Defender-Offline-Scan zu starten (siehe z.B. diese Microsoft Supportseite). Bei diesem Vorgang wird keine Benutzeranmeldung verlangt und der Rechner ist automatisch anfällig.
  • Ein Angreifer muss lediglich während dieses Vorgangs die Datei unattend.xml und das Verzeichnis Recovery in das Stammverzeichnis der Wiederherstellungspartition  (WinRE) kopieren. Zum Kopieren der Datei und des Ordners sollte sich eine Eingabeaufforderung verwenden lassen, die mit Shift+F10 geöffnet werden kann.
  • Anschließend reicht es, mit Umschalt + Klick auf die Schaltfläche Neustart einen Neustart in WinRE durchzuführen.

Wurden die Schritte korrekt ausgeführt, bekommt der Angreifer eine Shell mit uneingeschränktem Zugriff auf das BitLocker-Volume (siehe folgende Abbildung).

GreatXML Bitlocker Bypass

Das Ganze erfordert allerdings, dass der Angreifer bereits Zugriff auf das System des Opfers hat und den Defender Offline-Scan starten kann. Dann konnte er auf die Bitlocker-Volume aber bereits zugreifen. Aus meiner Sicht ist die Schwachstelle daher schon ein wenig exotisch, man könnte sogar diskutieren, ob es überhaupt eine Schwachstelle ist, denn der Defender Offline Scan "works as designed" und wie häufig wird das genutzt?

Wurde der Defender-Offline-Scan bisher nie gestartet, müssen Angreifer sich entweder am System anmelden und den Defender-Offline-Scan selbst starten. Oder sie müssen einen Weg finden, im Offline-Scan-Modus in WinRE zu booten und die oben genannten Schritte befolgen, schreibt Nightmare Eclipse.

Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
BlackHat 2026 in Vegas: Tritt das MSRC gerade in das nächste Fettnäpfchen?
Windows: Details zur Bitlocker-Schwachstelle "Bitskrieg"
Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Ein Kommentar zu GreatXML: Bitlocker Bypass mittels Defender Offline Scan

  1. R.S. sagt:
    12. Juni 2026 um 00:35 Uhr

    Naja, diese Schwachstelle hat noch einen Effekt:
    Man hebelt damit das Sicherheitssystem bzgl. der Benutzerrechte aus.
    D.H. man bekommt auch Zugriff auf die Benutzerprofilverzeichnisse anderer Benutzer auf dem Rechner und wohl auch Systemrechte.
    Man kann also auch Dinge auf dem Rechner tun, für die man normalerweise keine Berechtigungen hat.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.