Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
GreatXML è un presunto exploit che sfrutterebbe Windows Recovery Environment e Microsoft Defender Offline Scan per aggirare le protezioni di BitLocker. Nessuna CVE è stata assegnata e le verifiche indipendenti suggeriscono che siano necessari privilegi elevati, ridimensionandone l'impatto reale.
Presentato come un exploit zero-day, GreatXML sembrerebbe avere la capacità di aggirare BitLocker sfruttando il Windows Recovery Environment e il Micorsoft Defender Offline Scan. Tuttavia, l’assenza di una CVE e le verifiche indipendenti riaprono il caso sulla sicurezza del recovery path di Windows.
Nel giro di poche ore GreatXML ha suscitato l’effetto tipico delle disclosure non coordinate. Il punto critico è ottenere l’accesso a un volume protetto da BitLocker senza la chiave di recupero sfruttando, il comportamento di Windows Recovery Environment (WinRE) dopo l’uso di Microsoft Defender Offline Scan, la cui funzione è effettuare scansioni antimalware da un ambiente trusted esterno al kernel.
Il claim, per quanto impattante non proviene da comunicazioni ufficiali, pertanto richiede un approccio che permetta di distinguere ciò che è documentato da Microsoft, ciò che è sostenuto dai ricercatori e ciò che è stato effettivamente verificato da terzi.
Il punto fermo della questione è che BitLocker non è stato violato nel suo algoritmo di crittografia. Dalla documentazione di Microsoft ricordiamo che BitLocker risulta un full-volume encryption integrato nei sistemi Windows, il cui scopo sarà quello di ridurre il rischio di accessi non autorizzati nel caso di smarrimento o furto del dispositivo.
La protezione più robusta si ottiene quando il sistema utilizza il TPM (Trusted Platform Module, un chip specializzato nella scheda madre del computer progettato per migliorare la sicurezza archiviando in modo sicuro le chiavi crittografiche usate per la crittografia e la decrittografia) e, nei contesti in cui il rischio lo richiede, un fattore aggiuntivo, come un PIN o una chiave di avvio.
Queste precisazioni spostano l’attenzione sul recovery path, il punto debole pertanto non sarà l’algoritmo, ma le modalità con cui il sistema rende disponibile l’archivio cifrato durante l’avvio.
Alla luce di quanto esposto, si evidenziano due condizioni operative molto rilevanti per il caso di analisi, gli utenti devono possedere privilegi di amministratore locale e sul sistema di archiviazione deve essere attivato il BitLoker. Microsoft raccomanda di sospendere temporaneamente la protezione prima di eseguire la scansione; altrimenti al riavvio il sistema potrebbe richiedere la chiave di recupero. Inoltre, è necessaria l’abilitazione di WinRE affinché la scansione offline venga avviata. Sulla base delle premesse, il bypass dipenderebbe da artefatti lasciati dal passaggio in Microsoft Defender Offline Scan e dalla successiva elaborazione dei file XML in WinRE.
Pertanto, un file malevolo “unattend.xml” e una directory di Recovery predisposta inducono WinRE ad aprire una shell con accesso al volume protetto.
Il punto più delicato, però, è un altro. Le fonti non concordano su quanto il PoC sia realmente immediato da sfruttare. SecurityWeek e Cyderes lo presentano come un bypass di BitLocker legato all’uso pregresso di Defender Offline Scan. Tuttavia, per scrivere gli artefatti nella partizione di ripristino sarebbero necessari già dei privilegi elevati o una forma equivalente di controllo sul dispositivo. In questo caso, il bypass perderebbe gran parte del suo valore, almeno come tecnica per accedere al contenuto di un laptop rubato senza credenziali.
Per gli amministratori di sistema questo caso fa emerge la distanza che esiste tra la sicurezza teorica di un full-disk encryption e la sicurezza reale dell’intero ecosistema. In poche parole, non sarà esaustivo dire “Abbiamo attivato BitLocker”, ma occorrerà un’analisi più approfondita sulle policy, sulle modalità del preboot, sui controlli di WinRE e sulle funzionalità di recupero.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]