「GreatXML」と命名された新たなゼロデイ脆弱性が公開されました。この脆弱性を悪用すると、Windows マシンの BitLocker 暗号化を完全にバイパスできます。しかも攻撃ベクターとして使われるのは、Microsoft Defender 自身のオフラインスキャン機能という、誰もが予想しにくい経路です。
この脆弱性を発見したのはセキュリティ研究者の NightmareEclipse 氏で、最初の発見から動作する概念実証(PoC)の完成まで、わずか4時間という短時間で到達しました。
同研究者は技術的な詳細をすべて公開しており、GitHub および自己ホスト型の Git インスタンス2件でコードを公開しています。Microsoft との協調開示は行われておらず、パッチのない状態でのフルディスクロージャーとなっています。
GreatXML バイパスは、Windows 回復環境(WinRE)と、オフラインスキャン時に使用される unattend.xml 設定ファイルとの間の相互作用を突いたものです。
対象デバイスで過去に一度でも Windows Defender オフラインスキャンを実行したことがある場合、そのデバイスはログインなしで悪用可能な状態に恒久的にさらされることになります。
攻撃者は標的デバイスへの物理アクセスさえあれば、細工した unattend.xml ファイルと Recovery ディレクトリをデバイスの回復パーティションのルートにコピーするだけで攻撃を実行できます。
「Shift + 再起動」で WinRE に再起動すると、回復環境は整合性の検証を行わずに細工されたファイルを解析し、シェルを起動します。このシェルは BitLocker で保護されたボリュームに制限なくアクセスでき、復号キーも不要です。
この脆弱性は、2つの異なるシナリオで発現します。
NightmareEclipse 氏は、公開済みの内容を超える追加の悪用シナリオが存在する可能性が高いと指摘していますが、現時点ではそれ以上の調査には踏み込んでいないとしています。
この欠陥の根本原因は、WinRE が外部設定ファイルの検証を適切に行わない点にあり、Windows 回復環境で最近相次いで報告されている脆弱性と共通したパターンです。
Windows の自動セットアップや回復作業に用いられる unattend.xml ファイルは、WinRE の起動プロセス中に十分な整合性チェックなしで解析されます。
これは BitLocker バイパスチェーンにおける設計上の欠陥と同じ構造です。WinRE が保護されていないストレージボリューム上のファイルを処理するため、悪意ある改ざんが可能となり、BitLocker の認証フローが回避されます。
この攻撃が特に危険なのは、XTS-AES 128 暗号化で暗号化率 100%・「保護オン」状態の BitLocker Version 2.0 であっても、回復環境そのものが武器化されてしまえば一切の防御にならないからです。完全に暗号化された C: ドライブに自由にアクセスされている PoC のスクリーンショットがその証拠です。
マルウェア調査時の定番操作として Defender オフラインスキャンを使用したことがある Windows システムは、いずれも脆弱な状態にある可能性があります。
PIN なしの TPM のみによる BitLocker 保護が悪用を可能にする主要な要因であり、Windows 11 および Windows Server 2025 に影響する WinRE ベースの BitLocker バイパス脆弱性全般に共通する特徴と一致しています。
公開時点で GreatXML に対する公式パッチは存在しないため、防御側はただちに以下の対策を講じる必要があります。
翻訳元: https://cyberpress.org/greatxml-bitlocker-0-day-bypass-exploited/
