GreatXML – BitLocker contourné en quelques clics via WinRE
BitLocker, je le rappelle c’est quand même le truc censé protéger vos données en cas de vol de votre bécane. Sauf que voilà, la théorie et Redmond, ça fait parfois deux… Le chercheur en sécurité Chaotic Eclipse (déjà
à l’origine de BlueHammer
) vient de balancer une nouvelle vulnérabilité zero-day baptisée
GreatXML
, qui réduit cette promesse en miettes.
Le truc tourne autour de la façon dont Windows Recovery Environment (WinRE) traite les fichiers de configuration lors du démarrage. Plus précisément, la faille exploite des résidus laissés par l’outil d’analyse hors ligne de Microsoft Defender.
Cela signifie que si vous avez déjà lancé un scan Defender Offline, votre machine conserve des artefacts sur la partition de récupération. C’est là que le piège se referme car en manipulant des fichiers XML de configuration (notamment unattend.xml) sur la partition de récupération, un attaquant peut forcer le système à ouvrir un terminal avec les privilèges SYSTEM lors du passage en mode WinRE. Le tout sans avoir besoin de se connecter à la session, bien sûr…
Le résultat ?
Un accès complet et sans restriction au volume protégé par BitLocker. Pas besoin de fer à souder ou de bidouiller la carte mère avec un Raspberry Pi comme pour d’autres exploits TPM, là c’est une simple faiblesse logique logicielle qui permet de tout déverrouiller.
Alors oui, l’attaque nécessite un accès physique à la machine (ou un autre accès permettant de modifier la partition de récupération). Mais comme le rôle même de BitLocker est de protéger un appareil volé physiquement, c’est une sacrée épine dans le pied des administrateurs système ! D’autant plus qu’aucun correctif officiel n’a encore été publié par Microsoft.
Cette divulgation publique intervient dans un contexte tendu puisque Chaotic Eclipse multiplie les dumps de zero-days Windows suite à un différend avec le programme de bug bounty MSRC de Microsoft. On a déjà eu
le droit à YellowKey
et RoguePlanet ces dernières semaines et y’a peu de chances que ça s’arrête.
Bref, c’est la guerre ouverte !
Maintenant, même s’il n’y a pas encore de recommandations officielles de Microsoft pour cette faille spécifique, quelques mesures de bon sens permettent de limiter la casse. D’abord, configurer un mot de passe UEFI pour bloquer le boot externe. Ensuite, activer le mode TPM + PIN pour BitLocker car sans ce code pré-boot, la clé de déchiffrement n’est pas libérée, même si l’attaquant arrive à faire pop son shell.
Et si vous voulez couper court à toute exploitation de ce type, il reste l’option de désactiver complètement WinRE via la commande reagentc /disable.
Bref, en attendant que Microsoft sorte un patch, vous savez ce qu’il vous reste à faire.
Leave a Comment