GreatXML – Kein Patch: BitLocker-Bypass über WinRE überlebt Incident-Response

Ihre BitLocker-verschlüsselten Windows-Geräte sind möglicherweise nicht so gut geschützt, wie Ihr NIS2-Compliance-Bericht behauptet.

Diese Woche veröffentlichte ein Forscher GreatXML – eine Technik, die mit nichts weiter als zwei XML-Dateien auf der Recovery-Partition eine SYSTEM-Shell mit vollem Zugriff auf ein BitLocker-verschlüsseltes Volume erzielt.

Kein Patch existiert. Microsoft bewertet noch den Impact.

So funktioniert es: Jede Windows-Maschine, auf der Microsofts Offline-Scan von Defender mindestens einmal ausgeführt wurde, ist betroffen. Ein Angreifer mit temporärem Administrator-Zugang platziert zwei XML-Dateien auf der WinRE-Recovery-Partition. Von diesem Zeitpunkt an löst das Booten in die Windows Recovery Environment eine Shell mit uneingeschränktem Zugriff auf alle Daten auf dem verschlüsselten Laufwerk aus.

Das Unbequeme daran: Diese Dateien überleben die Credential-Rotation, Betriebssystem-Neuinstallationen und vollständige Incident-Response-Prozesse. Wenn Sie ein kompromittiertes Gerät bereinigen und BitLocker als Schutz behalten, können diese Dateien noch vorhanden sein.

Prüfen Sie alle WinRE-Partitionen auf unbekannte XML-Dateien. Implementieren Sie BitLocker mit PIN- oder USB-Key-Schutz statt reinem TPM-Modus. Überarbeiten Sie Incident-Response-Prozeduren, um Recovery-Partition-Bereinigung einzuschließen. Verfolgen Sie Microsofts Sicherheitsbulletins für einen außerplanmäßigen Patch.