Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2026-08267

CVSS: 6.8
11.06.2026

Уязвимость операционных систем Windows, связанная с недостаточной защитой служебных данных, позволяющая нарушителю обойти функцию шифрования данных BitLocker

Уязвимость операционных систем Windows связана с возможностью копированя файла unattend.xml и каталога Recovery с файлом ReAgent.xml в корень раздела восстановления в результате недостаточной защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю обойти функцию шифрования данных BitLocker
Статус уязвимости:
Подтверждена производителем
Информация об устранении отсутствует
Дата выявления: 11.06.2026
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Несанкционированный сбор информации
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Т.к. данная уязвимость опирается на запуск среды восстановления WinRE и подмену файлов в корень раздела восстановления, рекомендуется использовать компенсирующие меры:
- использование BitLocker с TPM + PIN-кодом: если BitLocker настроен только на автоматическую расшифровку через TPM, злоумышленнику проще добраться до WinRE. Настройка обязательного ввода PIN-кода (или предзагрузочного ключа) до старта ОС существенно усложняет эксплуатацию;
- отключение среды восстановления (WinRE): выполните команду от имени Администратора: reagentc /disable ;
- мониторинг и защита раздела восстановления: ограничьте права на запись в корень разделов восстановления и системного диска, чтобы предотвратить добавление вредоносных файлов unattend.xml и создание каталогов Recovery сторонними процессами.
Т.к триггером уязвимости выступает запуск автономного сканирования (Microsoft Defender Offline Scan), этот компонент требует особого контроля:
- запрет несанкционированных перезагрузок в режим сканирования: ограничьте права обычных пользователей на инициацию Microsoft Defender Offline Scan. Уязвимость без авторизации работает преимущественно на тех машинах, где это сканирование запускалось хотя бы раз в прошлом (остаются временные артефакты);
- очистка остаточных файлов: проверьте систему на наличие старых конфигурационных XML-файлов в директориях Windows Defender и системных папках восстановления, которые могли остаться от прошлых автономных проверок;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
Прочая информация: Данная уязвимость получила название GreatXML, затрагивающая все системы Windows, где хоть раз запускалась функция Microsoft Defender Offline Scan.

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-200 The product exposes sensitive information to an actor that is not explicitly authorized to have access to that information.

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
6.8 MEDIUM 2.0 AV:L/AC:L/Au:S/C:C/I:C/A:C
Вендор:
  • Microsoft Corp
Тип ПО:
  • Операционная система
Наименование ПО:
  • Windows
Версия ПО:
  • - (Windows)
ОС и аппаратные платформы:
  • Windows (-)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.