文章总结： 安全研究员NightmareEclipse发布名为GreatXML的0day漏洞利用程序，可绕过WindowsBitLocker加密。该漏洞通过MicrosoftDefender离线扫描功能在恢复模式下获取SYSTEM权限，要求目标系统至少执行过一次离线扫描。PoC包含XML文件和恢复文件夹，需复制到恢复分区并通过特定操作触发。建议用户谨慎使用Defender离线扫描功能以降低风险。 综合评分： 78 文章分类： 漏洞分析,恶意软件,应急响应,威胁情报,安全工具

“GreatXML”0day漏洞利用绕过BitLocker

爱拍照的老李 爱拍照的老李

爱拍照的老李

2026年6月12日 09:00 湖北

在小说阅读器读本章

去阅读

导读

安全研究员Nightmare Eclipse发布新的Windows BitLocker绕过程序，仅在发布针对Microsoft Defender漏洞攻击的第二天。

该PoC利用Microsoft Defender的离线扫描功能，在Recovery Mode（恢复模式）重启时生成SYSTEM权限的shell。

研究人员发布的概念验证（PoC）代码针对的是 Microsoft Defender 离线扫描功能的漏洞。

据Nightmare Eclipse介绍，所有至少发起过一次离线扫描的系统都会自动变得脆弱。

公开的漏洞PoC 包括一个 XML 文件和一个包含另一个 XML 的恢复文件夹，需要复制到计算机恢复分区的根节点。

接下来，需要在恢复模式下按住Shift键并点击重启按钮来重启系统。系统重启后，用户可以无限制访问BitLocker保护的卷。

任何 Windows 机器一旦启动 Defender 离线扫描，就会暴露于 GreatXML 的攻击。因此，攻击者只需在执行漏洞利用前启动该功能即可。

“如果Defender从未启动离线扫描，那么你要么登录并自己启动，要么想办法在离线扫描状态下启动WinRE（我认为完全可以不登录）。”这位安全研究员说。

Nightmare Eclipse 发布 GreatXML 就在 RoguePlanet 事件的第二天发布，RoguePlanet 是 Microsoft Defender 中的0day漏洞，导致本地权限升级（LPE）到系统。

Nightmare Eclipse在表达对Microsoft对参与漏洞披露项目研究人员待遇不满后，一直在针对Windows中各种0day漏洞发布漏洞利用代码。

漏洞详情：

https://github.com/MSNightmare/GreatXML

新闻链接：

https://www.securityweek.com/greatxml-zero-day-exploit-bypasses-bitlocker/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 爱拍照的老李 爱拍照的老李《“GreatXML”0day漏洞利用绕过BitLocker》