Une nouvelle vulnérabilité zero-day, baptisée GreatXML, vient d’être révélée par le chercheur en sécurité Chaotic Eclipse. Celle-ci permet de contourner la protection offerte par BitLocker, le système de chiffrement de disque de Microsoft, en exploitant la manière dont Windows Recovery Environment (WinRE) gère certains fichiers de configuration. La faille concerne principalement la manipulation de fichiers XML, comme unattend.xml, présents sur la partition de récupération, ce qui facilite un accès non autorisé aux volumes protégés sans nécessiter de connexion ou d’accès réseau.
Pour exploiter cette faille, l’attaquant doit disposer d’un accès physique à la machine ou pouvoir modifier la partition de récupération. Contrairement à d’autres attaques ciblant le Trusted Platform Module (TPM), celle-ci ne demande pas de matériel spécialisé, ce qui la rend particulièrement simple à réaliser pour un acteur malveillant. La vulnérabilité exploite des résidus laissés par l’outil d’analyse hors ligne de Microsoft Defender, notamment après un scan Defender Offline. En manipulant ces fichiers XML, un intrus peut forcer la machine à ouvrir un terminal avec les privilèges SYSTEM lors du passage en mode WinRE, contournant ainsi la sécurité de BitLocker.
Cette faille représente une menace sérieuse, d’autant que Microsoft n’a pas encore publié de correctif officiel pour la corriger, laissant les administrateurs dans l’incertitude quant à la sécurisation de leurs équipements.
Le résultat de cette exploitation est une entrée complète et sans restriction dans le volume protégé par BitLocker, ce qui compromet gravement la confidentialité des données stockées sur la machine. Notons que cette vulnérabilité ne nécessite pas d’opérations matérielles complexes, ce qui pourrait augmenter la probabilité de son utilisation en situation réelle. Bien que l’accès physique soit requis, cela reste une faille critique pour la protection de données sensibles en cas de vol ou de perte de l’appareil.
En attendant la sortie d’un correctif officiel, Microsoft recommande aux administrateurs de prendre des mesures préventives pour limiter le risque. Parmi celles-ci, activer un mot de passe UEFI pour désactiver le boot à partir de supports externes, configurer BitLocker avec TPM + PIN pour renforcer la sécurité, ou encore désactiver WinRE en utilisant la commande reagentc /disable. Ces étapes permettent d’atténuer considérablement la facilité avec laquelle un attaquant pourrait exploiter cette faille. La situation illustre une fois de plus la nécessité pour Microsoft de réagir rapidement face à l’émergence de vulnérabilités critiques dans ses systèmes majeurs.
Au regard de la polémique, il faut aussi souligner que Chaotic Eclipse a adopté une posture assez agressive, multipliant les divulgations publiques de zero-days suite à un différend avec le programme de bug bounty MSRC de Microsoft. Après YellowKey et RoguePlanet, cette nouvelle révélation semble indiquer une guerre ouverte dans le domaine de la sécurité Windows. Il est donc crucial pour les entreprises et utilisateurs d’être vigilants et de suivre attentivement l’évolution des recommandations officielles pour assurer la protection de leurs systèmes.
