El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse y MSNightmare) ha lanzado una nueva omisión de BitLocker de Windows denominada Gran XMLun día después de que publicaran un exploit para Microsoft Defender.
«Este fue un descubrimiento accidental, tomó un total de 4 horas encontrarlo», dijo el investigador en una publicación en Blogger. «Si alguna vez intentaste utilizar el análisis sin conexión de Windows Defender, eres automáticamente vulnerable a una omisión de BitLocker. No estoy seguro de si aún puedes activar el error sin usar la función de análisis sin conexión, porque definitivamente puedes hacerlo».
El exploit funciona de la siguiente manera:
- Copie un archivo XML («unattend.xml») y una carpeta de recuperación que contenga otro archivo XML («Recovery/WindowsRE/ReAgent.xml») a la raíz de la partición de recuperación.
- Reinicie en el Entorno de recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús mientras hace clic en Reiniciar en el menú de energía de Windows.
Si cada paso se sigue correctamente, el resultado es un shell generado con acceso sin restricciones al volumen de BitLocker.
«Si el escaneo fuera de línea de Defender nunca se inició, entonces debe iniciar sesión e iniciarlo usted mismo o encontrar una manera de iniciar WinRE en estado de escaneo fuera de línea (creo que debería ser muy posible hacerlo sin iniciar sesión) y seguir los pasos anteriores», señaló Chaotic Eclipse.
En una publicación en Mastodon, el investigador de seguridad Will Dormann opinó que los pasos para reproducir GreatXML son «defectuosos», y agregó que activar un escaneo sin conexión de Microsoft Defender requiere que el usuario haya iniciado sesión en Windows y tenga credenciales de administrador, momento en el cual es trivial desactivar BitLocker de todos modos.
«El artículo de GreatXML sugiere que el requisito previo es que Windows Defender Offline se haya ejecutado en algún momento en el pasado», añadió Dorman. «Y que después de colocar dos archivos en WinRE, todo lo que necesita hacer es (Shift)-reiniciar en WinRE, y Windows entrará automáticamente en el modo de escaneo sin conexión de Microsoft Defender. Pero este no es el caso en ninguno de los 3 linajes de Win11 que tengo a mano».
El lanzamiento de GreatXML llega poco después de RoguePlanet, una falla de día cero en Microsoft Defender que facilita la escalada de privilegios locales (LPE) al SISTEMA, otorgando al atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.
GreatXML es también el segundo bypass de BitLocker lanzado por Chaotic Eclipse después de YellowKey (también conocido como CVE-2026-45585), cuyos parches fueron lanzados por Microsoft esta semana como parte de las actualizaciones del martes de parches.