Um pesquisador de segurança publicou uma prova de conceito de um zero-day que bypassa o BitLocker usando uma falha no Microsoft Defender. Chamado de GreatXML, o exploit funciona em qualquer Windows onde o Defender executou scan offline ao menos uma vez. Não há patch disponível.
Como o exploit funciona
O pesquisador conhecido como Nightmare Eclipse (ou Chaotic Eclipse) divulgou o exploit GreatXML em 10 de junho de 2026. O código explora uma vulnerabilidade na funcionalidade de scan offline do Microsoft Defender, que por padrão cria artefatos na partição de recuperação do sistema.
O ataque requer acesso físico ou remoto à máquina alvo. O atacante copia dois artefatos para a partição de recuperação: um arquivo XML e uma pasta Recovery contendo outro XML. Ao reiniciar o sistema em Recovery Mode (segurando Shift e clicando em Reiniciar), o Windows processa esses arquivos maliciosos e abre um prompt de comando com privilégios totais de SYSTEM, sem solicitar a chave do BitLocker.
O requisito mínimo é que o Defender tenha executado ao menos um scan offline na máquina. Se isso nunca ocorreu, o atacante precisa de acesso para iniciar o scan antes de executar o exploit. O pesquisador afirma que deve ser possível forçar o estado de scan offline sem autenticação.
Pesquisador critica a Microsoft
Nightmare Eclipse publicou o GreatXML apenas um dia após divulgar o RoguePlanet, outro zero-day no Microsoft Defender que causa elevação de privilégio local para SYSTEM. O pesquisador vem liberando exploits para zero-days no Windows como forma de protesto contra o programa de divulgação de vulnerabilidades da Microsoft, que considera injusto com pesquisadores de segurança.
A empresa já corrigiu o RoguePlanet, mas outros exploits do mesmo pesquisador, como BlueHammer, RedSun e UnDefend, também foram explorados em ataques reais. A Microsoft corrigiu vulnerabilidades anteriores do BitLocker no Patch Tuesday de junho de 2026, incluindo GreenPlasma e YellowKey.
Cronologia de zero-days no Windows
A série de divulgações de Nightmare Eclipse destaca um padrão preocupante na resposta da Microsoft a vulnerabilidades reportadas por pesquisadores independentes. Em maio de 2026, a empresa corrigiu dois bypass do BitLocker (GreenPlasma e YellowKey), mas novos exploits continuam surgindo antes que correções anteriores sejam completamente implantadas. O ritmo de divulgação acelerou significativamente após o pesquisador expressar frustração com os valores das recompensas oferecidas pelo programa de bug bounty da Microsoft.
| Data | Exploit | Alvo | Status |
|---|---|---|---|
| Maio 2026 | GreenPlasma / YellowKey | BitLocker bypass | Corrigidos |
| Jun 2026 | BlueHammer / RedSun / UnDefend | Windows | Explorados ativamente |
| 9 jun 2026 | RoguePlanet | Microsoft Defender LPE | Corrigido |
| 10 jun 2026 | GreatXML | BitLocker via Defender | Sem patch |
Como se proteger agora
Enquanto a Microsoft não lança uma correção, especialistas recomendam medidas de mitigação específicas para este cenário de ataque:
- Ativar o BitLocker com PIN ou chave USB complementar, já que TPM sozinho não protege contra este exploit
- Desabilitar o boot a partir de dispositivos removíveis na BIOS/UEFI para dificultar o acesso físico ao Recovery Mode
- Configurar o Windows Recovery Environment (WinRE) com senha de administrador exigida antes de permitir ferramentas de diagnóstico
- Monitorar a partição de recuperação em busca de arquivos não autorizados, especialmente XML inesperados
- Restringir acesso físico a máquinas com dados sensíveis e considerar criptografia de disco de terceiros como camada adicional