새 GreatXML 익스플로잇, 복구 파티션 XML 파일로 Windows BitLocker 우회
출처: The Hacker News
Ravie Lakshmanan2026년 6월 11일 엔드포인트 보안 / 취약점
보안 연구원 Chaotic Eclipse(일명 Nightmare‑Eclipse 및 MSNightmare)가 **GreatXML**이라는 새로운 Windows BitLocker 우회 도구를 공개했습니다. 이는 Microsoft Defender용 익스플로잇을 발표한 지 하루 만에 나온 것입니다.
“우연히 발견한 것이며, 찾는 데 총 4시간이 걸렸습니다.” 라고 연구원은 Blogger에 올린 글에서 말했습니다. “Windows Defender 오프라인 스캔을 한 번이라도 사용해 본 적이 있다면 자동으로 BitLocker 우회에 취약합니다. 오프라인 스캔 기능을 전혀 사용하지 않고도 버그를 트리거할 수 있는지는 확실치 않지만, 확실히 가능합니다.”
익스플로잇은 다음과 같이 동작합니다 -
- XML 파일(
unattend.xml)과 또 다른 XML 파일(Recovery/WindowsRE/ReAgent.xml)이 들어 있는 복구 폴더를 복구 파티션 루트에 복사합니다. - Windows 전원 메뉴에서 재시작을 클릭하면서 Shift 키를 누르고 있으면 Windows 복구 환경(WinRE)으로 부팅됩니다.
모든 단계를 정확히 수행하면 BitLocker 볼륨에 대한 무제한 접근 권한을 가진 쉘이 생성됩니다.
“Defender 오프라인 스캔을 전혀 시작하지 않았다면, 직접 로그인해서 스캔을 시작하거나(로그인 없이도 가능할 것으로 보입니다) 오프라인 스캔 상태의 WinRE로 부팅하는 방법을 찾아 위 단계를 따라야 합니다.” 라고 Chaotic Eclipse가 언급했습니다.
GreatXML의 공개는 Microsoft Defender의 로컬 권한 상승(LPE) 취약점인 RoguePlanet(SYSTEM 권한을 부여) 발표 직후에 이루어졌습니다.
GreatXML은 Chaotic Eclipse가 이전에 공개한 YellowKey(일명 CVE‑2026‑45585) 이후 두 번째 BitLocker 우회 도구이며, 해당 취약점에 대한 패치는 이번 주 마이크로소프트의 Patch Tuesday 업데이트에 포함되어 공개되었습니다.
이 기사 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.