317/69 (IT) ประจำวันศุกร์ที่ 12 มิถุนายน 2569
มีรายงานว่านักวิจัยด้านความปลอดภัยที่ใช้ชื่อ Chaotic Eclipse หรือ Nightmare Eclipse ได้เผยแพร่ Proof-of-Concept ของช่องโหว่ใหม่ชื่อ GreatXML ที่อาจถูกใช้เพื่อข้ามการป้องกันของ BitLocker และเปิด Command Shell ด้วยสิทธิ์ระดับ SYSTEM ขณะ Windows อยู่ใน Recovery Mode โดยช่องโหว่ดังกล่าวถูกเปิดเผยเมื่อวันที่ 10 มิถุนายน 2569 หลังจากเพิ่งเผยแพร่ช่องโหว่ RoguePlanet ที่เกี่ยวข้องกับ Microsoft Defender และอาจนำไปสู่การยกระดับสิทธิ์ภายในเครื่อง ทั้งนี้ GreatXML ยังไม่มีแพตช์แก้ไขในขณะรายงาน และอาจส่งผลกระทบต่อเครื่องที่เคยใช้งานฟีเจอร์ Windows Defender Offline Scan
กลไกของช่องโหว่นี้เกี่ยวข้องกับ Windows Defender Offline Scan ที่เป็นฟีเจอร์ที่รีบูตระบบเข้าสู่ Windows Recovery Environment หรือ WinRE เพื่อตรวจหามัลแวร์ของระบบปฏิบัติการหลัก โดยนักวิจัยระบุว่ากระบวนการดังกล่าวอาจทิ้งค่าการตั้งค่าหรือ Artifact บางอย่างไว้ใน Recovery Partition และ GreatXML ใช้ประโยชน์จากวิธีที่ WinRE ประมวลผลไฟล์ XML ระหว่างกระบวนการบูต ส่งผลให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครื่องในเชิงกายภาพ หรือสามารถเขียนข้อมูลไปยัง Recovery Partition ได้ อาจเปิด Shell ที่เข้าถึง Volume ที่ถูกป้องกันด้วย BitLocker ได้โดยไม่ต้องปลดล็อกตามกระบวนการปกติ
เหตุการณ์นี้เป็นส่วนหนึ่งของการเปิดเผยช่องโหว่หลายรายการโดย Chaotic Eclipse ในช่วงที่ผ่านมา เช่น BlueHammer, UnDefend, RedSun, YellowKey และ GreenPlasma โดยบางรายการเกี่ยวข้องกับ BitLocker, Microsoft Defender และ Windows Collaborative Translation Framework โดย Microsoft Security Response Center ระบุว่าการเปิดเผยช่องโหว่แบบสาธารณะโดยไม่ประสานงานกับผู้ผลิตก่อน อาจเพิ่มความเสี่ยงให้ผู้ใช้งาน เนื่องจากผู้ไม่หวังดีสามารถนำรายละเอียดหรือโค้ดตัวอย่างไปใช้โจมตีได้อย่างรวดเร็ว สำหรับผู้ดูแลระบบควรติดตามประกาศจาก Microsoft อย่างใกล้ชิด จำกัดการเข้าถึงเครื่องใน ตรวจสอบการใช้งาน Windows Recovery Environment และพิจารณามาตรการเสริมด้าน Endpoint Security จนกว่าจะมีแพตช์หรือแนวทางลดความเสี่ยงอย่างเป็นทางการ