كشف الباحث الأمني المعروف باسم Chaotic Eclipse (أو Nightmare-Eclipse وMSNightmare) عن ثغرة جديدة في نظام ويندوز أطلق عليها اسم GreatXML، وذلك بعد يوم واحد فقط من نشره لاستغلال آخر في Microsoft Defender. الباحث أوضح أن الاكتشاف جاء بالصدفة خلال أربع ساعات فقط من البحث، مؤكداً أن أي مستخدم حاول تشغيل ميزة Windows Defender Offline Scan يصبح عرضة مباشرةً لتجاوز حماية BitLocker.
آلية عمل الاستغلال
يعتمد الاستغلال على نسخ ملف XML باسم “unattend.xml” مع مجلد الاسترداد الذي يحتوي على ملف “ReAgent.xml” إلى جذر قسم الاسترداد. بعد ذلك يقوم المهاجم بإعادة تشغيل الجهاز إلى بيئة الاسترداد Windows Recovery Environment (WinRE) عبر الضغط على زر Shift أثناء اختيار إعادة التشغيل من قائمة الطاقة. إذا تم تنفيذ الخطوات بدقة، يتم فتح قشرة أوامر (Shell) بصلاحيات غير مقيدة على وحدة التخزين المحمية بـ BitLocker، ما يعني الوصول الكامل إلى البيانات.
الجدل حول إمكانية التنفيذ
رغم أن Chaotic Eclipse أكد إمكانية تنفيذ الاستغلال بسهولة، إلا أن الباحث الأمني Will Dormann شكك في ذلك عبر منشور على منصة Mastodon. Dormann أوضح أن تشغيل Defender Offline Scan يتطلب تسجيل الدخول إلى ويندوز ببيانات مدير النظام، وهو ما يجعل تعطيل BitLocker أمراً ممكناً دون الحاجة إلى استغلال. وأضاف أن ما ورد في شرح GreatXML حول الدخول التلقائي إلى وضع الفحص غير صحيح في نسخ ويندوز 11 التي اختبرها، ما يثير جدلاً حول مدى واقعية الاستغلال في البيئات المختلفة.
سياق أوسع للهجمات الأخيرة
يأتي الكشف عن GreatXML بعد أيام قليلة من إعلان ثغرة RoguePlanet في Microsoft Defender، والتي تسمح برفع الامتيازات إلى مستوى SYSTEM وتشغيل تعليمات برمجية عشوائية. كما أن GreatXML يُعد ثاني استغلال يستهدف BitLocker من قبل Chaotic Eclipse بعد ثغرة YellowKey (CVE-2026-45585) التي أصدرت مايكروسوفت ترقيعات لها ضمن تحديثات Patch Tuesday الأخيرة. هذا التسلسل من الإفصاحات يعكس تصاعداً في التحديات الأمنية التي تواجهها مايكروسوفت، خاصة مع تركيز الباحث على ثغرات حساسة تمس أدوات الحماية الأساسية في النظام.
