「GreatXML」と名付けられた新たなゼロデイ脆弱性が公開され、Windowsセキュリティ業界に深刻な懸念をもたらしています。この脆弱性は、Windows Defenderを悪用するオフラインスキャン機能とWindows回復環境(WinRE)を組み合わせることで、現実的なBitLockerバイパスを可能にするものです。
この問題は「MSNightmare」(Nightmare Eclipse)として知られる研究者が 公開したもので、過去にDefenderオフラインスキャンを実行したことのあるシステムが恒常的に脆弱な状態に置かれる可能性を示しています。物理的なアクセス手段を持つ攻撃者は、認証なしで暗号化ボリュームへ無制限にアクセスできます。
GreatXMLゼロデイによるBitLockerバイパス
公開されたPoC(概念実証コード)とリポジトリによると、この脆弱性はオフラインスキャン実行時にWindowsが回復ブート構成と無人セットアップファイルをどのように処理するかに起因しています。
具体的には、攻撃者はシステムの回復パーティションのルートに、細工した「unattend.xml」ファイルと改ざんされたRecoveryディレクトリを配置します。
Shift+再起動などの操作によってシステムをWinREで起動させると、環境が悪意ある設定を処理し、BitLocker保護ボリュームへの直接アクセス権を持つ特権シェルが起動します。
GreatXML脆弱性において最も懸念されるのは、その持続性条件です。研究者によれば、過去に一度でもWindows Defenderオフラインスキャンを実行したシステムは、スキャンの実施時期にかかわらず、本質的に脆弱な状態になるとされています。
これは、オフラインスキャン実行中に生じた設定変更や残存ファイルが適切に保護・クリーンアップされておらず、回復環境と暗号化OSボリューム間の信頼境界が実質的に弱体化していることを示しています。
この機能を一度も使用していないシステムでも、オフラインスキャンを開始または模倣することで脆弱な状態を引き起こせる可能性がありますが、この攻撃ベクターについてはまだ十分に解明されていません。
技術的な観点から見ると、この攻撃は暗号的な弱点を突くのではなく、プリブートおよび回復ワークフローにおける信頼の前提を悪用することで、BitLockerが本来想定している保護モデルを回避します。
BitLockerはデータの静的保護、特にオフライン攻撃に対する防御を目的として設計されています。しかし、攻撃者がWinRE内でマウントされたボリュームへのアクセス権を持つ昇格された特権で任意のコードを実行できる場合、暗号化は事実上無意味になります。
これは、セキュリティ制御が十分に徹底されていないことが多いプリブート環境を標的とした、より広範な攻撃クラスとも一致しています。
この記事の執筆時点では、公式のCVE識別子やベンダーアドバイザリは発行されておらず、Microsoftも公式に問題を認めていません。
PoCで説明されている低い攻撃複雑度と再現性を考慮すると、この脆弱性は紛失・盗難デバイス、物理的アクセスが共有される環境、またはフォレンジックバイパス試行などのシナリオで現実的なリスクをもたらします。
セキュリティ担当者は、Microsoftのアップデートを監視するとともに、物理的アクセスの制限、WinRE使用の無効化または監査、Defenderオフラインスキャンの展開ポリシーの見直しといった暫定的な緩和策を検討することが推奨されます。
さらに、エンドポイント保護にBitLockerを多用している組織は、引き続き重大な攻撃対象領域として浮上しているプリブートおよび回復環境の悪用ケースを考慮し、脅威モデルを再評価することが求められます。
翻訳元: https://gbhackers.com/greatxml-zero-day-enables-bitlocker-bypass/
