){kind=link}
Pesquisador conhecido como Nightmare Eclipse divulgou nesta quarta-feira um novo exploit chamado GreatXML, que segundo ele permite contornar a criptografia BitLocker em sistemas Windows. O código foi publicado no GitHub e em outras plataformas de hospedagem.
GreatXML é o oitavo zero-day divulgado pelo pesquisador até agora. Basicamente, um zero-day é uma falha de segurança que ainda não tem correção oficial do fabricante, no caso, a Microsoft.
smart_display
Nossos vídeos em destaque
Segundo Nightmare Eclipse, a falha foi uma “descoberta acidental” e levou apenas quatro horas para ser encontrada. O pesquisador afirma que ela funciona em qualquer máquina que já tenha rodado uma varredura do Microsoft Defender Offline em algum momento.
Como o ataque funcionaria
De acordo com as instruções publicadas, o processo começa copiando o arquivo “unattend.xml” e a pasta “Recovery” para a raiz da partição de recuperação do Windows. Depois disso, é preciso reiniciar o sistema mantendo a tecla Shift pressionada ao clicar em Reiniciar, o que leva o computador ao modo WinRE.
Se tudo der certo, surge um shell com acesso irrestrito ao volume protegido pelo BitLocker. Isso porque esse shell daria controle total sobre os dados criptografados, sem precisar da senha de desbloqueio.
Caso a varredura do Defender nunca tenha sido executada antes, seria necessário fazer login no sistema e iniciá-la manualmente, ou então achar uma forma de forçar o WinRE a entrar nesse modo de varredura offline.
)
Especialista questiona o exploit
O pesquisador de segurança Will Dormann tentou reproduzir o GreatXML seguindo o passo a passo divulgado e classificou o método como “falho”. Em seus testes, o prompt de comando só apareceu na próxima vez que uma varredura completa do Defender Offline foi executada de fato.
Dormann apontou um problema central no raciocínio. Para acionar essa varredura do Microsoft Defender Offline, a vítima precisa estar logada no Windows e já ter credenciais de administrador. Ou seja, quem já tem esse nível de acesso poderia simplesmente desativar o BitLocker direto, sem precisar do exploit. O especialista ainda testou o método em três versões diferentes do Windows 11 e não conseguiu reproduzir o comportamento descrito por Nightmare Eclipse em nenhuma delas.
Um dia antes, outro zero-day
O GreatXML foi divulgado um dia depois de Nightmare Eclipse publicar o RoguePlanet, outro exploit que permite escalonamento de privilégios local. Na prática, isso significa que um atacante pode conseguir controle de nível SYSTEM, o mais alto privilégio possível dentro do Windows.
)
Com o RoguePlanet, o total de zero-days divulgados pelo pesquisador chega a oito. Os outros seis (RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma e MiniPlasma) já receberam correções da Microsoft nesta semana, durante o Patch Tuesday.
A resposta da Microsoft
A Microsoft confirmou que está investigando a validade do RoguePlanet, mas não respondeu sobre o GreatXML nem informou se e quando pretende lançar uma correção.
A empresa afirma que nenhuma das vulnerabilidades foi reportada pelos canais oficiais antes de se tornar pública. A Microsoft também baniu a conta anterior de Nightmare Eclipse no GitHub e chegou a sugerir ação legal, recuando depois de uma forte reação da comunidade de segurança.
)
A motivação por trás dos ataques
Alguns pesquisadores acreditam que Nightmare Eclipse seja um ex-funcionário da Microsoft. A pessoa parece carregar uma rixa pessoal com a empresa, principalmente com a forma como ela se comunica com pesquisadores de segurança.
Nightmare prometeu continuar divulgando zero-days, mas sem cronograma fixo. No mês passado, chegou a anunciar um grande lançamento para 14 de julho, prometendo que os “ossos” da Microsoft seriam “despedaçados” naquele dia.
Na terça-feira, porém, voltou atrás e disse que o RoguePlanet consumiu mais tempo do que esperava, podendo até fazer uma pausa nas divulgações no mês seguinte. Um dia depois dessa declaração, lançou o GreatXML.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.