文章总结： 研究员披露新漏洞，利用恢复环境解析缺陷绕过磁盘加密获取最高权限，前提是曾运行安全软件脱机扫描。因与微软存在纠纷，其近期连续曝光多个零日漏洞。微软谴责此举并呼吁遵循协调式漏洞披露机制，建议企业关注本地提权风险并及时跟进官方补丁。 综合评分： 80 文章分类： 漏洞分析,漏洞预警,安全大事件,终端安全

Chaotic Eclipse 组织再度出手：全新零日漏洞曝光，仅耗时四小时研究即可破解 BitLocker

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月12日 08:57 湖北

在小说阅读器读本章

去阅读

6 月 10 日，安全研究员 Chaotic Eclipse（别名 Nightmare Eclipse）公开了一款可稳定利用的漏洞利用程序，命名为 GreatXML。该工具能够绕过 BitLocker 加密保护，并在 Windows 恢复模式下调出拥有完整 SYSTEM 系统最高权限的命令行终端。就在此次披露的前一日，该研究员刚发布针对微软 Defender 的漏洞利用工具 RoguePlanet，该漏洞可实现本地权限提升。

研究员表示：“这个漏洞纯属偶然发现，前后仅耗时 4 小时就完成挖掘。只要设备曾经运行过微软 Defender 脱机扫描功能，就会自动存在 BitLocker 绕过漏洞。我暂时不确定从未使用过该脱机扫描功能的设备能否触发此漏洞，但从现有测试来看，触发成功率很高。”

照这个披露速度来看，微软补丁团队如同在玩打地鼠游戏，而对方手握一长串漏洞清单，且完全没有放缓披露节奏的打算。

漏洞技术原理并不复杂：微软 Defender 脱机扫描会将系统重启至 Windows 恢复环境（WinRE），在操作系统未启动时查杀恶意程序，该过程会在恢复分区中留下持久留存的配置残留文件。

GreatXML 漏洞正是利用 WinRE 启动流程中解析 XML 文件的逻辑缺陷实现攻击。

漏洞验证程序（PoC）说明文档写道：“只要受害设备任意时期启动过 Defender 脱机扫描，攻击者无需登录系统即可触发漏洞。攻击者只需将 unattend.xml 文件与 Recovery 文件夹复制至恢复分区根目录，随后按住 Shift 键点击重启进入 WinRE；操作无误后，即可生成可无限制访问 BitLocker 加密磁盘的命令行终端。”

该攻击最终会生成一个权限不受限、可完整读写 BitLocker 加密分区的终端，研究员已在 GitHub 代码仓库上传两张操作截图佐证效果。

实施该攻击需要短暂物理接触目标设备，或是通过其他方式向恢复分区写入文件。只要目标设备曾经运行过 Defender 脱机扫描，攻击者仅需复制两份文件的短暂操作时间就能完成前置准备，而满足该前置条件的设备十分普遍。微软 Defender 会定期弹窗提示用户执行脱机扫描，尤其是在检测到运行状态下无法清除的威胁后。

研究员同时指出一处限制条件：若设备曾经运行过 Defender 脱机扫描，漏洞利用流程会十分简便；若从未运行，则攻击者需要手动启动一次脱机扫描，或是寻找其他方式引导系统进入对应恢复环境。Nightmare Eclipse 称尚未完整研究全部可行触发手段，目前也暂无深入挖掘的计划，仍留有不少技术疑点。

文档补充说明：“如果设备从未启动过 Defender 脱机扫描，攻击者有两种方案：一是登录系统手动运行一次脱机扫描；二是找到无需登录就能引导系统进入脱机扫描状态 WinRE 的方法（我认为该方法具备可行性），之后再执行上述攻击步骤。”

该研究员坦言自己尚未完全梳理出触发漏洞的全部前置条件，且短期内不打算深入深挖，这一现状也给企业安全防护带来极大不确定性。截至本文撰写时，微软尚未发布针对 GreatXML 漏洞的修复补丁。

GreatXML 是 Chaotic Eclipse 最新公开的漏洞，在此之前他还披露过 BlueHammer（CVE-2026-33825）、UnDefend（CVE-2026-45498）以及 RedSun（CVE-2026-41091）。外界普遍认为，集中式批量披露漏洞的行为源于该研究员与微软在漏洞上报流程上产生的纠纷。

本周，Chaotic Eclipse 放出零日漏洞 RoguePlanet 的 PoC 代码，该漏洞即便在全补丁更新的 Windows 系统上，也能直接获取 SYSTEM 最高系统权限。

今年 5 月，该研究员还曝光了另外两款 Windows 零日漏洞 YellowKey 与 GreenPlasma，分别影响 BitLocker 磁盘加密组件与 Windows 协同翻译框架（CTFMON）。YellowKey 可绕过 BitLocker 加密防护，GreenPlasma 则用于权限提升；在此之前，该研究员已公开过三款微软 Defender 相关漏洞。

该研究员指责微软封禁其 MSRC（微软安全响应中心）账号、驳回其漏洞上报工单，且拒绝提供漏洞奖励。

5 月末，微软安全响应中心公开表态，认为这种批量直接曝光零日漏洞的行为极不负责任。

微软官方公告写道：“近几周，多款零日漏洞被直接对外公开披露。相关漏洞细节并未提前同步给微软，此类披露行为将客户置于不必要的网络攻击风险之下。”

微软表示，自漏洞集中曝光以来，旗下安全团队已全天候轮班工作，研判漏洞影响范围、开发修复补丁，保护客户免遭恶意攻击者利用已公开的漏洞利用代码发起入侵。

微软发布此文本质上是为协调式漏洞披露机制（CVD） 进行公开辩护。该机制为行业通用标准：安全研究员先私下将漏洞告知厂商，给予厂商充足时间开发修复方案，待补丁发布后再公开漏洞细节。微软称每年与数百名研究员采用该合作模式，通过漏洞赏金计划发放奖励，并公开致谢发现者。

公告继续说明：“这套协作模式能够保障我们在漏洞验证代码落入恶意人员手中前，完成受影响产品的安全更新。RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma 以及 MiniPlasma 这些漏洞，均未遵循负责任披露流程。”

其中隐含的态度十分明确：若跳过提前报备厂商这一关键环节，黑产攻击者会基于公开的漏洞研究成果制作攻击工具，真实企业与用户将遭受实际入侵攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《Chaotic Eclipse 组织再度出手：全新零日漏洞曝光，仅耗时四小时研究即可破解 BitLocker》