Der als „GreatXML“ bekannte Exploit nutzt die Windows-Wiederherstellungsumgebung für einen unbefugten Zugriff auf verschlüsselte Daten – und das ohne den eigentlichen Entschlüsselungsschlüssel.
So funktioniert der Angriff
Der Exploit wurde von einem Forscher namens Nightmare Eclipse (auch bekannt als Chaotic Eclipse) entdeckt. Laut technischen Analysen benötigte der Experte nur rund vier Stunden, um die Schwachstelle zu identifizieren. GreatXML manipuliert Dateien in der Wiederherstellungspartition des Systems, um eine Eingabeaufforderung mit höchsten Systemrechten zu öffnen.
Anzeige: Der GreatXML-Exploit hebelt BitLocker in Minuten aus – und Microsoft hat noch keinen Patch veröffentlicht. Besonders gefährdet sind TPM-only-Konfigurationen. In diesem Leitfaden finden Sie die drei wichtigsten Schutzmaßnahmen, die Sie sofort umsetzen können. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Der Haken: Der Angreifer benötigt physischen Zugriff auf das Zielgerät. Er muss eine spezielle unattend.xml-Datei sowie ein modifiziertes Wiederherstellungsverzeichnis mit einer ReAgent.xml auf die Recovery-Partition kopieren. Ein Neustart in die Windows-Wiederherstellungsumgebung (WinRE) per Shift+Neustart-Befehl genügt dann, um eine SYSTEM-Eingabeaufforderung zu erhalten. Diese Shell gewährt vollen Zugriff auf BitLocker-geschützte Laufwerke – der Wiederherstellungsschlüssel bleibt außen vor.
Welche Systeme besonders gefährdet sind
Besonders anfällig sind Rechner, auf denen mindestens einmal ein Windows Defender Offline-Scan durchgeführt wurde. In diesem Fall lässt sich der Angriff sogar automatisieren. Wurde ein solcher Scan noch nie ausgeführt, müsste ein Angreifer ihn manuell starten – was in der Regel Administratorrechte voraussetzt.
Der Exploit zielt gezielt auf Konfigurationen, die ausschließlich auf das Trusted Platform Module (TPM) zur Entschlüsselung setzen. Das Problem: Bei TPM-only-Authentifizierung werden die Verschlüsselungsschlüssel während des Bootvorgangs in die Wiederherstellungsumgebung automatisch freigegeben.
Großes Windows-Update, aber keine Lösung für GreatXML
Die Enthüllung kommt nur wenige Tage nach dem größten Patch-Day der Unternehmensgeschichte. Anfang Juni hatte Microsoft mit dem Patch Tuesday insgesamt 206 Schwachstellen geschlossen – darunter 38 als kritisch eingestufte Lücken. Gefixt wurde unter anderem ein früherer BitLocker-Bypass namens „YellowKey“ (CVE-2026-45585), der ebenfalls auf das Konto desselben Forschers geht.
Trotz des massiven Updates – das auch gefährliche Remote-Code-Ausführungslücken im TCP/IP-Stack und Windows-Kernel schloss – gibt es für GreatXML noch keinen offiziellen Patch. Der Forscher hat einen Proof-of-Concept auf GitHub veröffentlicht, der die Funktionsfähigkeit des Exploits auf aktuellen Versionen von Windows 10 und Windows 11 demonstriert.
Was Nutzer jetzt tun können
Anzeige: Kein offizieller Patch für GreatXML in Sicht – doch Sie können Ihre Systeme bereits heute absichern. Der Exploit nutzt die Windows-Wiederherstellungsumgebung und Windows Defender Offline-Scans als Einfallstor. Unser Leitfaden zeigt Ihnen, wie Sie WinRE deaktivieren und TPM+PIN konfigurieren, bevor Angreifer physischen Zugriff erhalten. Schutzmaßnahmen jetzt herunterladen
Bis Microsoft nachbessert, empfehlen Sicherheitsexperten mehrere Schutzmaßnahmen:
- TPM+PIN-Konfiguration: Statt allein auf das TPM zu setzen, sollten Nutzer einen zusätzlichen PIN-Schutz einrichten. Erst nach Eingabe dieser persönlichen Identifikationsnummer werden die BitLocker-Schlüssel freigegeben.
- Wiederherstellungsumgebung deaktivieren: Administratoren können WinRE per Kommandozeile komplett abschalten, um unbefugte Neustarts in die anfällige Umgebung zu verhindern.
- Überwachung von Defender-Scans: Da die Initialisierung von Windows Defender Offline-Scans als Einfallstor dient, sollten diese als sensible Ereignisse behandelt und auf unbefugten physischen Zugriff überwacht werden.
Ob und wann Microsoft einen Patch für GreatXML bereitstellt, ist bislang offen. Bis dahin bleibt die physische Sicherheit der Geräte der wichtigste Schutzfaktor.
