El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse y MSNightmare) ha lanzado una nueva omisión de BitLocker de Windows denominada Gran XMLun día después de que publicaran un exploit para Microsoft Defender.

«Este fue un descubrimiento accidental; se necesitaron un total de 4 horas para encontrarlo», dijo el investigador. dicho en una publicación en Blogger. «Si alguna vez intentaste utilizar el análisis sin conexión de Windows Defender, eres automáticamente vulnerable a una omisión de BitLocker. No estoy seguro de si aún puedes activar el error sin usar la función de análisis sin conexión, porque definitivamente puedes hacerlo».

El exploit funciona de la siguiente manera:

• Copie un archivo XML («unattend.xml») y una carpeta de recuperación que contenga otro archivo XML («Recovery/WindowsRE/ReAgent.xml) a la raíz de la partición de recuperación.
• Reinicie en el entorno de recuperación de Windows (WinRE) manteniendo presionada la tecla Mayús mientras hace clic en Reiniciar en el menú de energía de Windows.

Si cada paso se sigue correctamente, el resultado es un shell generado con acceso sin restricciones al volumen de BitLocker.

«Si el escaneo fuera de línea de Defender nunca se inició, entonces debe iniciar sesión e iniciarlo usted mismo o encontrar una manera de iniciar WinRE en estado de escaneo fuera de línea (creo que debería ser muy posible hacerlo sin iniciar sesión) y seguir los pasos anteriores», señaló Chaotic Eclipse.

El lanzamiento de GreatXML llega poco después de RoguePlanet, una falla de día cero en Microsoft Defender que facilita la escalada de privilegios locales (LPE) al SISTEMA, otorgando al atacante la capacidad de ejecutar código arbitrario o realizar acciones no autorizadas.

GreatXML es también el segundo bypass de BitLocker lanzado por Chaotic Eclipse después de YellowKey (también conocido como CVE-2026-45585), cuyos parches fueron lanzados por Microsoft esta semana como parte de las actualizaciones del martes de parches.