12 de Junio de 2026

GreatXML: nuevo método expone una vía para eludir BitLocker a través de archivos XML en WinRE

Un investigador presentó GreatXML, una técnica que aprovecha archivos XML en el entorno de recuperación de Windows para obtener acceso sin restricciones a unidades protegidas con BitLocker bajo determinadas condiciones.

El investigador de seguridad Chaotic Eclipse, también conocido como Nightmare-Eclipse y MSNightmare, reveló una nueva técnica de evasión de BitLocker denominada GreatXML, apenas un día después de publicar un exploit dirigido a Microsoft Defender.

Según explicó el investigador en una publicación de Blogger, el hallazgo fue accidental y requirió aproximadamente cuatro horas de análisis. Además, señaló que los sistemas donde se haya utilizado la función Microsoft Defender Offline Scan podrían ser susceptibles a este método de bypass de BitLocker. No obstante, indicó que aún no está completamente claro si la vulnerabilidad puede explotarse en equipos donde dicha función nunca haya sido ejecutada.

El procedimiento descrito por Chaotic Eclipse consiste en copiar un archivo XML denominado «unattend.xml» junto con una carpeta de recuperación que contiene otro archivo XML, «Recovery/WindowsRE/ReAgent.xml», en la raíz de la partición de recuperación. Posteriormente, el sistema debe reiniciarse en el Entorno de Recuperación de Windows (WinRE) mediante la combinación Shift + Reiniciar desde el menú de energía de Windows.

Si todos los pasos se ejecutan correctamente, el resultado sería la apertura de una consola con acceso completo y sin restricciones al volumen protegido por BitLocker. El investigador añadió que, si Microsoft Defender Offline Scan nunca fue iniciado previamente, sería necesario ejecutarlo con acceso al sistema o encontrar un método alternativo para arrancar WinRE en modo de análisis sin conexión, algo que considera potencialmente viable incluso sin iniciar sesión.

Sin embargo, la validez práctica del ataque ha sido cuestionada por otros expertos. A través de Mastodon, el investigador de seguridad Will Dormann calificó el procedimiento de reproducción como «defectuoso», argumentando que para ejecutar Microsoft Defender Offline Scan se requiere que un usuario haya iniciado sesión y disponga de privilegios administrativos, un nivel de acceso que ya permitiría desactivar BitLocker de forma directa.

Dormann también indicó que, según la descripción de GreatXML, bastaría con colocar los archivos en WinRE y reiniciar el sistema utilizando Shift para que Windows ingresara automáticamente en el modo de análisis sin conexión de Microsoft Defender. No obstante, aseguró que este comportamiento no pudo ser reproducido en varias versiones de Windows 11 que probó. La publicación de GreatXML se produce poco después de la divulgación de RoguePlanet, una vulnerabilidad de día cero en Microsoft Defender que permite la elevación local de privilegios hasta el nivel SYSTEM, posibilitando la ejecución de código arbitrario y otras acciones no autorizadas.

Asimismo, GreatXML representa el segundo bypass de BitLocker divulgado por Chaotic Eclipse. El primero, conocido como YellowKey (CVE-2026-45585), recibió correcciones por parte de Microsoft durante las actualizaciones de seguridad distribuidas esta semana en el Patch Tuesday.

Regresar
Scroll al inicio