Nezáplatovaná chyba obchází BitLocker a sprístupní disk bez PINu

Bezpečnostní výzkumník vystupující pod přezdívkou Nightmare-Eclipse (také Chaotic Eclipse) zveřejnil 11. června 2026 na GitHubu funkční útočný nástroj pojmenovaný GreatXML. Nástroj umožňuje získat přístup k datům na disku chráněném šifrováním BitLocker, aniž by útočník znal PIN nebo heslo. Microsoft v době zveřejnění neměl k dispozici žádnou záplatu ani přiřazené skóre závažnosti (CVSS je standardní číselné hodnocení toho, jak nebezpečná zranitelnost je).

Co je BitLocker a proč to vadí

BitLocker je technologie šifrování vestavěná do Windows, která chrání data na disku v případě, že se zařízení dostane do cizích rukou. Firmy ji rutinně používají u notebooků zaměstnanců jako pojistku proti úniku dat. Pokud někdo notebook ztratí nebo je ukraден, šifrování by mělo útočníkovi zabránit v přečtení obsahu.

GreatXML tuto pojistku obchází.

Jak útok funguje

Exploit kombinuje dva zcela legitimní mechanismy Windows: prostředí WinRE (Windows Recovery Environment, tedy záchranný systém, který se spustí při problémech s Windows) a funkci Windows Defender Offline Scan (antivirový sken spouštěný mimo hlavní systém).

Klíčová podmínka: na cílovém zařízení musel být kdykoli v minulosti spuštěn tento offline sken. Pokud tato podmínka platí, útočník s fyzickým přístupem k zařízení zkopíruje speciálně upravený soubor unattend.xml na obnovovací oddíl disku. Přes tento soubor pak získá příkazový řádek s přímým přístupem k jinak zašifrovaným datům, bez hesla nebo PINu.

Útok funguje výhradně na zařízeních s konfigurací BitLockeru nazvanou TPM-only. TPM (Trusted Platform Module) je bezpečnostní čip přítomný ve většině moderních počítačů; v režimu TPM-only se BitLocker spoléhá výhradně na tento čip a nepožaduje od uživatele žádný PIN při zapnutí počítače. Jde o výchozí nastavení, které je v praxi velmi rozšířené zejména u firemních stanic spravovaných centrálně.

Proč je to závažné i při požadavku fyzického přístupu

Fyzický přístup jako podmínka útok na první pohled omezuje. V praxi ale tato podmínka nastává v řadě reálných situací: odcizené nebo ztracené notebooky zaměstnanců, zařízení zanechaná bez dozoru na pracovišti, přístup servisního personálu, nebo fyzické vniknutí do prostorů organizace.

Organizace, které spoléhají na BitLocker jako hlavní ochranu dat uložených na discích, jsou touto zranitelností přímo ohroženy.

Regulatorní rámce EU, včetně NIS2 a DORA, ukládají organizacím povinnost chránit citlivá data i při fyzickém kompromitování zařízení. Absence záplaty v době zveřejnění exploitu vytváří okno expozice, na které nelze čekat bez aktivní reakce.

Co dělat teď

• Aktivujte PIN při startu počítače ve správě BitLockeru. Zranitelná jsou pouze TPM-only nastavení bez tohoto dodatečného ověření.
• Omezte fyzický přístup k zařízením s citlivými daty a zaveďte jasné postupy pro případ ztráty nebo krádeže zařízení.
• Sledujte výstupy CERT/CC a Microsoft Security Response Center a záplatu nasaďte bezprostředně po jejím vydání.
• Zvažte dočasné zablokování nebo audit konfigurací WinRE na spravovaných stanicích.
• Proveďte inventarizaci zařízení s TPM-only konfigurací BitLockeru a prioritně adresujte ta s přístupem k citlivým datům.

Co z toho plyne

Nezáplatovaný exploit GreatXML ukazuje, že samo šifrování bez PINu nestačí všude tam, kde hrozí fyzická ztráta nebo krádež zařízení. Dokud Microsoft nevydá záplatu, jedinou účinnou obranou je zapnout PIN při startu počítače a omezit fyzický přístup k citlivým zařízením.

Zdroje:

• The Register
• The Hacker News