La semaine dernière, un chercheur qui publie depuis plusieurs mois des failles critiques dans Windows, a dévoilé un exploit censé contourner le chiffrement BitLocker sur les terminaux verrouillés. Baptisée GreatXML, l’attaque s’appuie sur l'environnement de récupération Windows Recovery Environment (WinRE), un mode de boot spécial de l'OS permettant de résoudre les problèmes de démarrage. Elle est également liée à la fonctionnalité d’analyse hors ligne de Defender. Le hacker connu sous le pseudonyme Nightmare Eclipse ou Chaotic Eclipse a indiqué dans une note que « si l’analyse en mode déconnecté de Defender a été lancée à un moment quelconque sur la machine de la victime, il n’est pas nécessaire de se connecter : la machine est automatiquement vulnérable ».

Les doutes d’un expert en cybersécurité

L'obligation de se connecter est ici pertinente, car un disque système chiffré avec BitLocker sera déverrouillé et déchiffré lorsque l'utilisateur se connectera. Cependant, l'intérêt d'un contournement de BitLocker est justement d'accéder au disque non chiffré sans disposer des identifiants de connexion, comme sur un ordinateur portable volé, par exemple. Sur les machines où une analyse hors ligne de Windows Defender a été effectuée par le passé, l'exploitation est censée fonctionner en copiant deux fichiers (unattend.xml et Recovery/WindowsRE/ReAgent.xml) fournis par Nightmare Eclipse sur la partition WinRE, ce qu'il est possible de faire depuis l'extérieur du système d'exploitation car la partition WinRE n'est pas chiffrée, puis en redémarrant le système en mode WinRE. « Si la procédure est correcte, un shell disposant d’un accès illimité au volume BitLocker s’ouvrira », a expliqué Nightmare Eclipse.

Cependant, Will Dormann, un analyste en vulnérabilités expérimenté qui a étudié les exploits précédents publiés par le chercheur, n’a pas réussi à reproduire le contournement en suivant les instructions fournies après avoir essayé sur trois versions de Windows 11. « Je pense que la description est erronée dans la mesure où le lancement de CMD.EXE se produit lorsqu’une analyse Defender Offline est déclenchée », a indiqué M. Dormann sur son compte Mastodon. « Et pour déclencher ce type d’analyse, il faut à la fois être connecté à Windows et disposer d’identifiants d’administrateur. Et si l’on bénéficie déjà de ce niveau d’accès, on peut simplement désactiver BitLocker. » L'observation de l’analyste serait conforme à la documentation de Microsoft, qui précise que le lancement d'une analyse hors ligne de Windows Defender nécessite des privilèges d'administrateur et entraîne un redémarrage en mode WinRE pour que l'analyse puisse démarrer. L'intérêt de l'analyse hors ligne est qu'elle s'exécute en dehors du système d'exploitation afin de supprimer les menaces au niveau du noyau, comme les rootkits, qui pourraient autrement interférer avec le processus normal de Windows Defender.

Un conflit entre Microsoft et Nightmare Eclipse

Nightmare Eclipse n'a pas répondu au rapport de M. Dormann, mais il a demandé sur X si quelqu'un connaissait un moyen de déclencher une analyse hors ligne de Defender simplement en modifiant le fichier ReAgent.xml. Il semble que le chercheur cherche donc un autre moyen de déclencher l'exploit, mais peut-être uniquement pour le cas où une analyse hors ligne de Defender n'aurait jamais été exécutée auparavant. L'article de blog d'Eclipse sur GreatXML a disparu de son site blogspot.com, mais le chercheur affirme que c'est l'œuvre de Google (Google est propriétaire du service Blogger). Le dépôt GitHub sur lequel il avait publié ses précédents exploits « zero day » a également été supprimé récemment, vraisemblablement par Microsoft, propriétaire de GitHub, une décision qui a suscité de nombreuses critiques au sein de la communauté de la sécurité, GitHub étant un lieu sûr pour stocker les recherches en matière de sécurité, y compris les exploits zero day de preuve de concept.

Le chercheur qui semble régler des comptes personnels avec Microsoft, argue que l'entreprise l'a maltraité. Il a publié à ce jour huit exploits « zero day » touchant des composants de Windows. Certaines de ces publications ont été programmées peu après le « Patch Tuesday » de Microsoft afin de contraindre l'entreprise à publier des correctifs hors cycle ou à attendre le mois suivant. Ce fut aussi le cas en début de semaine, lorsque le chercheur a publié un exploit critique d'élévation de privilèges dans Windows Defender, baptisé RoguePlanet, suivi deux jours plus tard par ce qu'il prétend être un contournement de BitLocker appelé GreatXML. Même si l’expert en vulnérabilité Will Dormann n'a pas réussi à faire fonctionner GreatXML, les entreprises devraient tout de même prendre cet exploit au sérieux, compte tenu des antécédents d'Eclipse dans la publication d’attaques fonctionnelles. S'il y a un bug dans l'exploit, le chercheur ou quelqu'un d'autre pourrait le corriger ou trouver un autre moyen de le déclencher.