RoguePlanet és GreatXML
A LevelBlue SpiderLabs elemzése a közelmúltban nyilvánosságra került RoguePlanet és GreatXML technikák védelmi oldalára koncentrál. Mindkettőt a Nightmare Eclipse kutató publikálta, és bár eltérő célokat szolgálnak, közös bennük, hogy nem klasszikus távoli sérülékenységek, hanem egy már kompromittált vagy helyi hozzáféréssel rendelkező támadó képességeit növelik.
A RoguePlanet egy Microsoft Defenderben található versenyhelyzetet használ ki, amely lehetővé teszi egy alacsony jogosultságú felhasználó számára a SYSTEM szintű jogosultság megszerzését még teljesen frissített Windows 10 és Windows 11 rendszereken is. A technika a Defender fájlkezelési és remediációs folyamatait manipulálja, végül egy SYSTEM jogosultságú folyamat indítását érve el. A Microsoft a hibát CVE-2026-50656 azonosító alatt követi, és dolgozik a javításon.
A GreatXML nem jogosultságkiterjesztési hiba, hanem egy BitLocker biztonsági határ megkerülésére alkalmas módszer. A támadónak előzetesen rendszergazdai hozzáférést kell szereznie, majd manipulált unattend.xml állományokat és helyreállítási fájlokat kell elhelyeznie a Windows Recovery Environment környezetében. Ezt követően bizonyos Defender Offline Scan és WinRE forgatókönyvek esetén hozzáférés nyílhat a BitLockerrel védett meghajtó tartalmához. A módszer nem töri fel a BitLocker titkosítását, hanem a helyreállítási folyamatot használja ki a védett adatok elérésére.
A LevelBlue szerint a két technika legfontosabb tanulsága, hogy a védelemnek nem elegendő kizárólag a sérülékenységek javítására koncentrálnia. A RoguePlanet esetében figyelni kell a szokatlan Defender-műveleteket, a SYSTEM jogosultságú folyamatindításokat és a Windows Error Reporting komponensek rendellenes használatát. GreatXML esetében a WinRE-partíció módosításai, az unattend.xml fájlok váratlan megjelenése, a helyreállítási környezet manipulálása és a Defender Offline Scan eseményei szolgálhatnak kompromittálódási indikátorként. A kutatók szerint különösen a laptopok, távoli végpontok és érzékeny adatokat tároló rendszerek esetében érdemes a helyreállítási folyamatokat is a fenyegetésmodellezés részének tekinteni.
