Alors que Microsoft a corrigé la faille YellowKey à l’occasion du Patch Tuesday de juin 2026, le chercheur Nightmare Eclipse a publié une nouvelle faille zero-day permettant, elle aussi, de contourner BitLocker. Voici ce que l’on sait sur cette faille zero-day surnommée GreatXML.

Il ne s’arrête plus ! Le chercheur Nightmare Eclipse a divulgué la faille RoguePlanet quelques heures après la mise en ligne du Patch Tuesday de juin 2026 par Microsoft. Mais, visiblement, il a encore quelques surprises dans son sac : le 11 juin 2026, il a révélé une nouvelle faille exploitant Microsoft Defender pour contourner le chiffrement BitLocker.

En effet, la méthode exposée par Nightmare Eclipse exploite une faiblesse au niveau de la fonctionnalité d’analyse hors ligne de Microsoft Defender. Si un scan hors ligne est initié sur la machine Windows de la victime, alors la porte commence à s’entrouvrir. Mais pour que cette technique fonctionne, il faut placer des fichiers spécifiques à la racine de la partition de récupération de la machine :

• Un fichier de configuration .
• Un répertoire nommé (qui contient l’arborescence ).

Une fois ces éléments positionnés, il suffit de provoquer un redémarrage de la machine vers l’environnement WinRE en utilisant la méthode classique consistant à maintenir la touche Majuscule enfoncée tout en cliquant sur l’option de redémarrage (via le menu Démarrer). Si la configuration est correctement lue par le système, la technique GreatXML engendre l’ouverture d’une invite de commandes offrant un accès total et sans restriction au volume protégé par BitLocker.

Rappel : un fichier unattend.xml est un fichier de réponses utilisé lors de l’installation de Windows pour automatiser la configuration initiale du système.

GreatXML : deux scénarios exposés par le chercheur

La lecture du dépôt GreatXML publié par Nightmare Eclipse met en évidence deux scénarios distincts permettant d’exploiter cette vulnérabilité sur une machine Windows. “Si vous avez déjà essayé d’utiliser l’analyse hors ligne de Windows Defender, vous êtes automatiquement exposé à un contournement de BitLocker.”, précise-t-il.

Il y a donc deux scénarios :

• Premier scénario : si une analyse hors ligne de Defender a déjà été lancée au moins une fois sur la machine victime, il n’est pas nécessaire de se connecter, la machine est automatiquement vulnérable ! Dans ce cas, le simple fait de pousser les bons fichiers et de redémarrer en WinRE suffit à obtenir le terminal en tant que SYSTEM.
• Second scénario : si l’analyse hors ligne n’a jamais été déclenchée auparavant sur la machine, l’attaquant doit déjà se connecter à la session Windows pour l’initier lui-même une première fois. C’est une étape nécessaire avant de pouvoir passer à la suite.

Le dépôt GitHub contient d’ailleurs un exemple de fichier unattend.xml et un dossier Recovery/WindowsRE avec un fichier XML. Je n’ai pas testé personnellement, mais tous les exploits précédents publiés par Nightmare Eclipse étaient fonctionnels… Toutefois, comme pour YellowKey, l’exploitation de GreatXML nécessite un accès physique à la machine.