تخطى إلى المحتوى الرئيسي
شارك

ثغرة GreatXML: اختراق BitLocker في ويندوز عبر ملفات XML

فريق جلتش13 يونيو0 مشاهدة2 دقائق
شارك
ثغرة GreatXML: اختراق BitLocker في ويندوز عبر ملفات XML

كشف الباحث Chaotic Eclipse عن ثغرة GreatXML التي قد تتجاوز تشفير BitLocker. تعرف على تفاصيل الاختراق وكيفية تأثيره على أمان ويندوز.

مقدمة تحليلية

كشف الباحث الأمني المعروف باسم Chaotic Eclipse عن ثغرة أمنية جديدة تُعرف باسم GreatXML، تتيح تجاوز حماية تشفير BitLocker في أنظمة ويندوز. تستغل هذه الثغرة آلية التعامل مع ملفات XML داخل قسم الاستعادة (Recovery Partition)، مما يفتح باباً خلفياً للوصول إلى البيانات المشفرة دون الحاجة إلى مفتاح فك التشفير التقليدي.

تأتي هذه الثغرة كحلقة في سلسلة من الاكتشافات التي استهدفت المكونات الأمنية في ويندوز مؤخراً، مما يضع أمن الأجهزة الشخصية والمؤسسية تحت المجهر. وبينما يتجادل الباحثون حول تعقيدات تنفيذ الثغرة، يظل التهديد قائماً بانتظار استجابة رسمية من مايكروسوفت لسد الثغرة البرمجية في بيئة الاستعادة.

التحليل التقني

تعتمد GreatXML على تلاعب دقيق في ملفات النظام الموجودة في قسم استعادة ويندوز. يتطلب تنفيذ الهجوم خطوات محددة للوصول إلى نظام ملفات ويندوز (WinRE):

  • نسخ ملف 'unattend.xml' وملف 'Recovery/WindowsRE/ReAgent.xml' إلى المسار الرئيسي لقسم الاستعادة.
  • إعادة تشغيل الجهاز للدخول إلى بيئة الاستعادة عبر ضغط مفتاح Shift أثناء النقر على إعادة التشغيل.
  • استغلال تفعيل ميزة Microsoft Defender Offline Scan السابقة لتمكين التنفيذ.

يزعم الباحث أن هذه العملية تؤدي إلى فتح 'Shell' بصلاحيات كاملة تسمح بالوصول غير المقيد إلى وحدة تخزين BitLocker. ومع ذلك، أثار خبراء مثل Will Dormann شكوكاً تقنية حول دقة متطلبات التنفيذ، مشيرين إلى أن محاكاة ظروف عمل Microsoft Defender Offline Scan قد لا تكون بنفس السهولة التي وصفها المكتشف على كافة إصدارات Windows 11.

السياق وتأثير السوق

هذا الكشف ليس الأول من نوعه لـ Chaotic Eclipse؛ فقد سبق للباحث إصدار ثغرة YellowKey التي عالجتها مايكروسوفت ضمن تحديثات Patch Tuesday الأخيرة. ترافق هذه الهجمات سلسلة من الثغرات المكتشفة في Microsoft Defender، مثل RoguePlanet، مما يشير إلى زيادة في وتيرة استهداف بيئة ما قبل التشغيل (Pre-boot environment) والوظائف الخدمية في ويندوز.

تُظهر هذه التحركات أن المهاجمين ينتقلون من استهداف النظام أثناء عمله إلى استهداف البنية التحتية للاستعادة والصيانة، وهي مناطق غالباً ما يتم تجاهلها في برامج إدارة التصحيحات التقليدية، مما يجعل تأثيرها على المؤسسات التي تعتمد على BitLocker كخط دفاع أول أمراً مقلقاً.

رؤية Glitch4Techs

نرى في Glitch4Techs أن GreatXML، رغم الجدل حول قابليتها للتنفيذ السهل، تسلط الضوء على فجوة أمنية هيكلية في كيفية تعامل ويندوز مع ملفات التكوين (XML) في وضع الاستعادة. الثقة في المكونات الموجودة داخل قسم الاستعادة لا تزال نقطة ضعف استراتيجية. التوصية الحالية هي تشديد سياسات الوصول إلى بيئة الاستعادة وتعطيل خيارات التمهيد غير الضرورية عبر السياسات المركزية لحماية الأجهزة من الوصول المادي أو الوصول عبر الصلاحيات الإدارية المنخفضة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.