白帽研究员再曝BitLocker绕过漏洞，攻击需满足特定前置条件

继此前与微软的法律纠纷后，安全研究领域再次出现针对Windows系统BitLocker加密功能的潜在绕过方法。一位名为Chaotic Eclipse的研究员近日公布了名为GreatXML的新漏洞详情，声称其可在特定条件下解锁受BitLocker保护的驱动器。这一发现引发了安全社区对Windows加密机制实际防护能力的再度审视。

根据研究员的描述，GreatXML漏洞的生效存在一个关键前提：

攻击链条复杂且依赖物理接触

Chaotic Eclipse在GitHub上公布的攻击方法显示，攻击者需要将包含unattend.xml文件及恢复目录的漏洞库复制到Windows恢复分区（WinRE）的根目录，然后重启系统进入WinRE环境。如果操作正确，将启动一个可以不受限制访问BitLocker加密卷的Shell。

然而，其他安全研究员的测试和进一步分析揭示了更复杂的现实。安全研究员Will Dormann在Mastodon上表示，按照所述方法在多个Windows 11系统上测试均未成功。他发现，

实际利用门槛高，研究员兴趣已转移

综合来看，要成功利用此漏洞，攻击者需要先物理接触目标设备并植入文件，然后将设备返还给受害者，诱使其执行一次离线扫描，之后再次夺取设备才能访问加密数据。这种需要多次物理接触和特定用户操作的攻击路径，在实际攻击场景中可行性较低。

Chaotic Eclipse本人在博客中透露，GreatXML漏洞是一次“偶然发现”，整个研究过程大约只花费了4个小时。他推测这一攻击或许在目标从未进行过离线扫描的情况下也能实现，但他表示“目前已经失去兴趣”，不愿继续深入探究。为确保研究成果不被封锁，他已将相关代码上传至GitHub及另外两个不受微软控制的平台。