對於許多工程師來說,BitLocker 是 Windows 系統中保障資料安全的最後一道防線。它透過全磁碟加密(Full Disk Encryption)確保即便硬碟被盜或在未授權狀態下啟動,沒有金鑰就無法讀取資料。然而,最近被揭露的 GreatXML 漏洞證明了,即便有強大的加密機制,如果系統在進入恢復模式時的設定出現漏洞,依然可能被繞過。
什麼是 GreatXML 漏洞
GreatXML 是一個針對 Windows BitLocker 的繞過攻擊手法。這個漏洞的核心在於 Windows 恢復環境(WinRE, Windows Recovery Environment)在處理特定 XML 設定檔時的邏輯缺陷。簡單來說,攻擊者可以利用系統在恢復模式下會讀取特定設定檔的特性,強行取得一個具有高權限的命令列介面(Shell),進而直接存取原本被 BitLocker 加密的磁碟卷軸。
漏洞觸發的技術脈絡
要理解這個漏洞,首先要認識 WinRE。當 Windows 遇到嚴重錯誤或使用者手動進入恢復模式(例如在重啟時按住 Shift 鍵)時,系統會進入 WinRE。這個環境是一個輕量級的作業系統,旨在提供修復工具。
GreatXML 的攻擊路徑如下:
首先,攻擊者需要在系統的恢復分區(Recovery Partition)根目錄中放置兩個關鍵的 XML 檔案。一個是名為 unattend.xml 的自動安裝設定檔,另一個則是位於 Recovery/WindowsRE/ 路徑下的 ReAgent.xml。
其次,這些 XML 檔案的作用是欺騙 WinRE 的啟動流程。在正常情況下,WinRE 應該在受控且安全的環境下執行,但透過精心構造的 XML 參數,攻擊者可以誘導系統在啟動恢復環境時,直接跳過身分驗證或權限檢查,直接開啟一個權限不受限的 Shell。
最後,一旦進入這個高權限 Shell,攻擊者就可以繞過 BitLocker 的加密保護,直接讀取或修改加密磁碟中的敏感資料。
觸發條件與影響範圍
根據研究人員 Chaotic Eclipse 的發現,這個漏洞有一個有趣的觸發條件:如果使用者曾經執行過 Windows Defender 的離線掃描(Offline Scan),系統會自動處於易受攻擊的狀態。
這是因為離線掃描會改變 WinRE 的啟動狀態,使其在下次重啟進入恢復環境時,更容易被這些惡意 XML 檔案誘導。雖然研究人員認為即使沒有執行過離線掃描,只要能想辦法讓系統在離線掃描狀態下進入 WinRE,依然可以觸發此漏洞,但離線掃描的使用紀錄顯然降低了攻擊門檻。
為什麼這個漏洞很重要
對於資安工程師而言,這再次提醒我們一個關鍵概念:安全鏈條的最弱環節決定了整體的安全性。BitLocker 的加密演算法本身可能非常堅固,但如果進入加密環境之前的門戶(即 WinRE)被攻破,那麼後端的加密就失去了意義。
這種攻擊屬於本地權限提升或繞過類型的漏洞。雖然它需要物理接觸設備(或已經擁有對恢復分區的寫入權限),但在筆電遺失、內部威脅或結合其他遠端漏洞(如 LPE 本地權限提升)的情況下,其威脅程度極高。
總結與對策
GreatXML 是繼 YellowKey 之後,又一個針對 BitLocker 的繞過漏洞。這顯示出 Windows 的恢復機制與加密層之間的整合仍存在漏洞。對於企業管理員,建議確保所有設備都更新至最新的 Windows 修補程式,並審視恢復分區的存取權限,避免未授權的檔案被寫入恢復環境中。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。