フルディスク暗号化はデータを保護しますが、リカバリ環境が致命的な弱点として浮上した途端、その防御は崩れ去ります。最近、著名なサイバーセキュリティ研究者Nightmare Eclipseが、Windowsの新たな脆弱性を公開しました。この欠陥は「GreatXML」と名付けられており、BitLockerをバイパスするクリティカルなエクスプロイトです。Windows Defenderオフラインスキャンの仕組みとWindows回復環境(WinRE)を悪用することで、これを実現します。
GreatXML 脆弱性の詳細
この問題は特定の条件下で発生します。具体的には、過去にWindows Defenderオフラインスキャンを実行したシステムが対象となります。発見者によると、このスキャンを実行したコンピュータはその後、深刻な脆弱状態に陥ったままになるとのことです。その結果、物理的なアクセス手段を持つ攻撃者は、パスワードや回復キーを一切必要とせず、暗号化されたボリュームに容易に侵入できてしまいます。
この攻撃は暗号化の基盤そのものを破るのではなく、信頼されたブートシーケンスを体系的に悪用するものです。まず攻撃者は、巧妙に細工した`unattend.xml`ファイルを戦略的に配置します。技術的な詳細はGreatXMLリポジトリで直接確認できます。次に、このファイルを改ざんしたRecoveryディレクトリとともに回復パーティションのルートに配置します。その後、攻撃者はシステムをWinREで起動させます。これにはShift + 再起動という簡単な操作が用いられることが多いです。
回復環境の悪用
回復環境がこの悪意ある設定ファイルを処理すると、最終的に高い権限を持つコマンドシェルが起動します。このシェルにより、BitLockerで保護されたパーティションへの無制限なアクセスが可能になります。
さらに、この脆弱な状態が持続するとされている点も深刻な脅威です。Nightmare Eclipseは恐ろしい現実を指摘しています。Windows Defenderオフラインスキャンを実行したシステムは、たとえ一度だけであっても、避けようもなく脆弱な状態に置かれるというのです。ただし、この機能を一度も使用していないワークステーションについては、攻撃経路が不明確なままです。著者は、強制的または模擬的な自律スキャンについて、やや曖昧な説明にとどめています。
緩和策と今後の脅威
現時点では、GreatXMLに正式なCVEは割り当てられていません。また、Microsoftはこの深刻な問題を公式に認めていません。そのため、この脆弱性は紛失・盗難に遭ったノートパソコンにとって特に深刻な脅威となっており、権限のない人物がハードウェアに物理的に近づける可能性のある環境にも危険をもたらします。
公式パッチがリリースされるまでの間、システム管理者は迅速かつ断固とした対応を取る必要があります。Microsoftのアップデートを注意深く監視するとともに、機密性の高いデバイスへの物理的なアクセスを制限することが求められます。また、組織はWinREの利用状況を監査し、Windows Defenderオフラインスキャンに関するポリシーを包括的に見直す必要があります。BitLockerに大きく依存している企業は今すぐ行動を起こし、回復環境を悪用した攻撃を包括的な脅威モデルに早急に組み込まなければなりません。
翻訳元: https://meterpreter.org/greatxml-bitlocker-bypass/
