Exploit GreatXML Permite Contornar a Criptografia BitLocker em Sistemas Windows
Um novo exploit, denominado GreatXML, foi divulgado, alegando contornar a criptografia BitLocker em sistemas Windows. A vulnerabilidade, descoberta por um pesquisador de segurança, explora uma falha relacionada ao Microsoft Defender Offline Scan.
MundiX News·16 de junho de 2026·6 min de leitura·👁 8 views
Um pesquisador de segurança conhecido como Nightmare Eclipse (também chamado de Chaotic Eclipse) revelou um novo exploit para uma vulnerabilidade 0-day no Windows, que ele nomeou GreatXML. Este exploit tem como alvo o BitLocker, o sistema de criptografia de disco da Microsoft, e, segundo o pesquisador, afeta todos os sistemas onde o Microsoft Defender Offline Scan já foi executado pelo menos uma vez. A descoberta, que o pesquisador afirma ter levado apenas quatro horas, permite que um atacante obtenha acesso irrestrito a volumes criptografados pelo BitLocker.
Para explorar a vulnerabilidade GreatXML, o atacante precisa copiar o arquivo unattend.xml e o diretório Recovery (contendo o arquivo ReAgent.xml) para a raiz da partição de recuperação do sistema. Após esses passos, o sistema é reiniciado no Windows Recovery Environment (WinRE). Se a operação for bem-sucedida, um shell com acesso total ao volume BitLocker é iniciado dentro do ambiente de recuperação. No entanto, o pesquisador ressalta que a exploração eficaz depende da execução prévia do Microsoft Defender Offline Scan. Caso contrário, o atacante precisaria iniciar manualmente o escaneamento offline ou encontrar uma maneira de colocar o sistema nesse estado sem login.
Apesar da divulgação, a eficácia do exploit GreatXML tem sido questionada por outros especialistas em segurança. Will Dormann, um renomado especialista em segurança, criticou a descrição da exploração, considerando-a incompleta. Em seus testes, Dormann observou que uma simples reinicialização no WinRE não ativa automaticamente o modo Defender Offline Scan. Ele argumenta que, para iniciar a verificação offline, é necessário acesso ao sistema e privilégios administrativos. Se um atacante já possui tais privilégios, existem métodos mais diretos para desativar o BitLocker sem a necessidade da complexa cadeia de exploração descrita. Dormann afirmou que a descrição do GreatXML sugere que basta executar o Defender Offline Scan uma vez, colocar os arquivos na WinRE e reiniciar com a tecla Shift pressionada, mas isso não funcionou em nenhuma das versões do Windows 11 que ele testou.
O GreatXML surge em meio a um conflito contínuo entre Nightmare Eclipse e a Microsoft. Pouco antes de divulgar o GreatXML, o pesquisador revelou outra vulnerabilidade 0-day, a RoguePlanet, no Microsoft Defender. Essa falha permite a escalada de privilégios para o nível SYSTEM, mesmo em sistemas Windows 10 e 11 totalmente atualizados. Com o GreatXML, Nightmare Eclipse acumula agora oito vulnerabilidades 0-day divulgadas publicamente: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586), MiniPlasma (CVE-2020-17103) e a já mencionada RoguePlanet. A Microsoft corrigiu algumas dessas vulnerabilidades em seu Patch Tuesday de junho.
Anteriormente, o pesquisador prometeu continuar divulgando vulnerabilidades não corrigidas como forma de protesto contra o tratamento que o Microsoft Security Response Center (MSRC) dispensa aos pesquisadores de segurança. Segundo ele, a Microsoft o ameaçou, prometeu "arruinar sua vida", ignorou seus relatórios de vulnerabilidades, revogou seu acesso à conta MSRC e conseguiu a remoção de seus repositórios de exploit do GitHub e GitLab. Em resposta, o pesquisador agora duplica todo o seu material em sua própria infraestrutura.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um pesquisador de segurança conhecido como Nightmare Eclipse (também chamado de Chaotic Eclipse) revelou um novo exploit para uma vulnerabilidade 0-day no Windows, que ele nomeou GreatXML. Este exploit tem como alvo o BitLocker, o sistema de criptografia de disco da Microsoft, e, segundo o pesquisador, afeta todos os sistemas onde o Microsoft Defender Offline Scan já foi executado pelo menos uma vez. A descoberta, que o pesquisador afirma ter levado apenas quatro horas, permite que um atacante obtenha acesso irrestrito a volumes criptografados pelo BitLocker.
Para explorar a vulnerabilidade GreatXML, o atacante precisa copiar o arquivo unattend.xml e o diretório Recovery (contendo o arquivo ReAgent.xml) para a raiz da partição de recuperação do sistema. Após esses passos, o sistema é reiniciado no Windows Recovery Environment (WinRE). Se a operação for bem-sucedida, um shell com acesso total ao volume BitLocker é iniciado dentro do ambiente de recuperação. No entanto, o pesquisador ressalta que a exploração eficaz depende da execução prévia do Microsoft Defender Offline Scan. Caso contrário, o atacante precisaria iniciar manualmente o escaneamento offline ou encontrar uma maneira de colocar o sistema nesse estado sem login.
Apesar da divulgação, a eficácia do exploit GreatXML tem sido questionada por outros especialistas em segurança. Will Dormann, um renomado especialista em segurança, criticou a descrição da exploração, considerando-a incompleta. Em seus testes, Dormann observou que uma simples reinicialização no WinRE não ativa automaticamente o modo Defender Offline Scan. Ele argumenta que, para iniciar a verificação offline, é necessário acesso ao sistema e privilégios administrativos. Se um atacante já possui tais privilégios, existem métodos mais diretos para desativar o BitLocker sem a necessidade da complexa cadeia de exploração descrita. Dormann afirmou que a descrição do GreatXML sugere que basta executar o Defender Offline Scan uma vez, colocar os arquivos na WinRE e reiniciar com a tecla Shift pressionada, mas isso não funcionou em nenhuma das versões do Windows 11 que ele testou.
O GreatXML surge em meio a um conflito contínuo entre Nightmare Eclipse e a Microsoft. Pouco antes de divulgar o GreatXML, o pesquisador revelou outra vulnerabilidade 0-day, a RoguePlanet, no Microsoft Defender. Essa falha permite a escalada de privilégios para o nível SYSTEM, mesmo em sistemas Windows 10 e 11 totalmente atualizados. Com o GreatXML, Nightmare Eclipse acumula agora oito vulnerabilidades 0-day divulgadas publicamente: BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586), MiniPlasma (CVE-2020-17103) e a já mencionada RoguePlanet. A Microsoft corrigiu algumas dessas vulnerabilidades em seu Patch Tuesday de junho.
Anteriormente, o pesquisador prometeu continuar divulgando vulnerabilidades não corrigidas como forma de protesto contra o tratamento que o Microsoft Security Response Center (MSRC) dispensa aos pesquisadores de segurança. Segundo ele, a Microsoft o ameaçou, prometeu "arruinar sua vida", ignorou seus relatórios de vulnerabilidades, revogou seu acesso à conta MSRC e conseguiu a remoção de seus repositórios de exploit do GitHub e GitLab. Em resposta, o pesquisador agora duplica todo o seu material em sua própria infraestrutura.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
