Microsoft corrige la faille YellowKey, mais une nouvelle vulnérabilité GreatXML émerge
Alors que Microsoft a récemment corrigé la faille YellowKey lors du Patch Tuesday de juin 2026, le chercheur en cybersécurité Nightmare Eclipse a publié une nouvelle vulnérabilité zero-day qui permet également de contourner le chiffrement BitLocker. Cette faille, désignée sous le nom de GreatXML, soulève de nouvelles inquiétudes concernant la sécurité des systèmes Windows.
Le 11 juin 2026, Nightmare Eclipse a révélé que cette méthode exploite une faiblesse dans la fonctionnalité d’analyse hors ligne de Microsoft Defender. Lorsqu’un scan hors ligne est initié sur la machine de la victime, il devient possible d’accéder à des données protégées. Pour que cette technique fonctionne, des fichiers spécifiques doivent être placés à la racine de la partition de récupération de la machine, notamment :
- Un fichier de configuration
unattend.xml. - Un répertoire nommé
Recovery, contenant l’arborescenceWindowsRE.
Une fois ces éléments en place, il suffit de redémarrer la machine dans l’environnement WinRE en maintenant la touche Majuscule enfoncée durant le redémarrage. Si la configuration est correctement reconnue, la technique GreatXML permet l’ouverture d’une invite de commandes, offrant un accès total au volume protégé par BitLocker.
La lecture du dépôt GreatXML met en évidence deux scénarios d’exploitation. Si une analyse hors ligne de Defender a été lancée au moins une fois sur la machine, elle est automatiquement vulnérable. Dans le second scénario, si aucune analyse n’a été réalisée, l’attaquant doit d’abord se connecter à la session Windows pour initier l’analyse.
Bien que le dépôt GitHub propose des exemples de fichiers nécessaires à l’exploitation de cette vulnérabilité, il est à noter que l’accès physique à la machine est requis, comme c’était le cas pour YellowKey.
Source : IT-Connect.
