先に紹介済みではありますが、BitLockerバイパス「GreatXML」についてのPoCコードそのものが公開された件についての報道。研究者Nightmare-Eclipse(MSNightmare)はブログで「偶発的な発見で、見つけるまで合記4時間だった」と述べ、公開リポジトリへのリンクを示したとの内容。CVE番号は未採番、Microsoft公式アドバイザリなしのまま、オフライン検査機能Defender-Offline-ScanとWindows回復環境(WinRE)を使う手順が公開された事案です。
【要点の整理】
・公開READMEの主張は、自動応答ファイルuattend.xmlとRecoveryディレクトリを回復パーティション直下へ置き、WinREへ再起動すると、BitLockerボリュームへ無制限に届く操作画面(シェル)が開くという内容
・前提条件は、過去Defender Offline Scanを実行した端末は自動的に脆弱と研究者は述べ、未実行の端末ではログインしてスキャンを始めるか、別手段で同じ状態のWinREへ入る経路が前提とされる
・公開時点の状態は、GreatXML自体のCV番号なし、Microsoft公式アドバイザリなし。リポジトリは公開ページとして参照でき、再現可能性の細部には未追認の部分を残す公開PoCの主張
・背景には研究者とMicrosoftの対立がある。事前共有なしの公開は顧客リスクを生むとMicrosoftが反発したと5月に報じられ、RoguePlanet・BlueHammer・RedSun、および6月の月例更新で修正されたGreenPlasma・YellowKeyに続く開示として扱われている
研究者は偶発的な発見だったと述べていますが、再現性や影響範囲は引き続き公開PoCと研究者の主張の範囲で扱う必要があります。攻撃手順そのものより、公開の是非と開示をめぐる対立が続報の焦点になっています。
詳細は以下を参照:
securityonline.info/greatxml…
50
Harvester retweeted
Is YellowKey and bitskrieg patched with June's updates from Microsoft?
The answer is: It depends.
tharros.com/the-difficulty-i…
1
3
8
882
これって、例のYellowKey公開した人だよね?
Windowsのドライブ暗号化機能BitLockerを、暗号そのものは破らずに回復環境の側から迂回する実証コード「GreatXML」が公開されています。研究者MSNightmareの主張では、オフライン検査機能Defender-Offline-Scanを一度でも実行した端末で、回復用パーティションへ特定ファイルを置いてWindows回復環境(WinRE)へ起動するだけで、BitLockerで保護されたボリュームへ届くシェルが開くとのこと。CVE番号は未採番、Microsoft公式アドバイザリなしの段階にとどまります。
【要点の整理】
・前提条件は二段構え。過去にDefender Offline Scanを実行した端末では、スキャン時に導入された構成変更が適切に除去されず、ログイン不要で脆弱な状態が残ると研究者は主張。未実行の端末では、ログインしてスキャンを開始するか、別手段で同じ状態のWinREへ入る経路が前提
・攻撃の流れは回復パーティションへの仕込みとWinRE起動。自動応答ファイルuilattend.xmlとRecoveryディレクトリを回復パーティション直下へ置き、Shiftキーを押しながらの再起動などでWinREへ入ると、公開READMEではBitLockerボリュームへ無制限に届く操作画面(シェル)が生成されるとされる
・射程は物理的またはローカルに回復パーティションへ書ける場面。リモートから任意端末を開ける話ではなく、影響を受けるバージョン・機種差・スキャン履歴のない端末での再現経路は、公開情報の範囲では未確認
・暗号鍵を奪う手口ではない。WinREと自動応答ファイルの処理が前提とする信頼関係を突くBitLockerバイパスで、公開情報の範囲ではCVE・MSRCアドバイザリ・公式パッチのいずれもなし
級失・盗難端末のように物理接触があり得る場面で、暗号の強度ではなく回復ワークフローの信頼境界が論点になっています。公開時点ではCVE未採番・公式アドバイザリなしの公開PoCの主張という段階。
詳細は以下を参照:
github.com/MSNightmare/Great…
gbhackers.com/greatxml-zero-…
59
「BitLocker」が回避されてしまう「YellowKey」脆弱性、6月のセキュリティパッチで修正済み - 窓の杜 forest.watch.impress.co.jp/d…
16
ふらり@ROBO BOY (Modern) | Microsoft MVP retweeted
Jun 12
「BitLocker」が回避されてしまう「YellowKey」脆弱性、6月のセキュリティパッチで修正済み/Microsoftがアナウンス forest.watch.impress.co.jp/d…
30
51
7,672
Jun 13
YellowKeyの発端は「HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager」キーのBootExecuteにautofstx.exeが含まれていたことですが、Trusted Wim Bootの仕組みがある以上、TPM-Only BitLockerの脅威はなくなりません。
20
Jun 13
CVE-2026-45585ことYellowKeyが修正されたようです。winre.wimのレジストリからBootExecuteキーが削除され、autofstx.exeが実行されなくなりました。ただしEXE自体は削除されていないため、この実行をトリガーする何かが発見されれば再度脅威となるかもしれません。
forest.watch.impress.co.jp/d…
1
26
Jun 13
2026年6月9日のWindows Update(Patch Tuesday)は、企業のIT管理者やセキュリティ担当者の間で「過去最大級の対応負荷」と激震が走った異例のアップデート。
今回のパッチワークがこれほどまでに警戒されている背景には、「数」と「質」の両面において極めてリスクの高い脆弱性が並んでいる点にあります。特に注目すべきポイントを整理しました。
⚠️ 2026年6月パッチの主要な脅威トピック
1. CVSS 9.8の致命的な「RCE(遠隔コード実行)」脆弱性
ネットワーク経由で、ユーザーの操作(クリックなど)を一切必要とせずにシステム権限(SYSTEM権限)を乗っ取られる、いわゆる「ワーム性(自律拡散型)」の高い脆弱性が含まれています。
*WindowsカーネルのTCP/IP処理に関する脆弱性(CVE-2026-45657など)攻撃者が不正なネットワークパケットを送信するだけで、認証なしでリモートからコードを実行される恐れがあります。
Windows DHCPクライアント(CVE-2026-44815)同じくCVSS 9.8。社内ネットワークや同一セグメントに侵入した攻撃者から悪用されるリスクが非常に高い状態です。
2. すでに悪用・公開されていたゼロデイ脆弱性
「Nightmare Eclipse」と名乗るセキュリティ研究者が、Microsoftのバグバウンティ(脆弱性報奨金)制度への抗議として事前に一般公開していた、通称 **「YellowKey(BitLockerバイパス:CVE-2026-50507)」 や 「GreenPlasma(CTFMON特権昇CVE-2026-45586)」*などの修正パッチがようやく今回で包括的に適用されました。
3. Microsoft Office / Outlookの「プレビュー領域」の罠
Outlook(クラシック版)でメールをプレビューしただけで、Wordのレンダリング機能の不具合(Type Confusion:型混乱)を突かれて不正コードを実行される深刻な脆弱性(CVE-2026-45456等)も修正されています。
🛠️ 今すぐ取るべき推奨アクション
これだけ diffuse(広範囲)かつ深刻なパッチの場合、適用によるシステムトラブル(相性問題や起動障害)を懸念して検証を長引かせがちですが、今回は「攻撃の成立が容易すぎる(認証不要・ユーザー関与不要)」ものが多く含まれています。
1. 最優先で検証・適用すべき対象
*外部ネットワークに直接、またはVPN経由で接続するWindowsノートPC(エンドポイント)
AD(Active Directory)サーバー、DNS/DHCPサーバー、Exchange等のインフラ基盤サーバー
2. 即時適用が難しい環境での暫定措置
不必要なポートの遮断やネットワーク分離の徹底
Outlookでの「テキスト形式での表示」への一時的な切り替え
AIを活用した脆弱性発見ツールの普及により、今後もこのような「大量かつ一斉」のセキュリティパッチが定例化する可能性があると言われています。社内のクライアントPC群やサーバー群への適用スケジュール、社内ネットワークへの影響確認など、今週末から来週にかけて大忙しになる組織も多そうですね。
478
Jun 13
流石に最優先事項だから早かったね。
「BitLocker」が回避されてしまう「YellowKey」脆弱性、6月のセキュリティパッチで修正済み - 窓の杜 forest.watch.impress.co.jp/d…
19
Jun 13
「BitLocker」が回避されてしまう「YellowKey」脆弱性、6月のセキュリティパッチで修正済み - 窓の杜 forest.watch.impress.co.jp/d… @madonomori さんから パッチ配布で適応されたとあっても"適応されていない"というのもあるみたいだから信用ならなくなってきていますねぇ #WindowsUpdate #Microsoft
32
「BitLocker」が回避されてしまう「YellowKey」脆弱性、6月のセキュリティパッチで修正済み(窓の杜)
#Yahooニュース
news.yahoo.co.jp/articles/de…
82
pbxscience.com/yellowkey-vul…
"YellowKey" Vulnerability Allowing Bypass of BitLocker Fixed in June 2026 Security Patch.
Microsoft's June 2026 Patch delivers a permanent fix for CVE-2026-45585, closing the publicly disclosed BitLocker bypass that could expose encrypted data to...
38
José Moreno retweeted
Jun 11
6月の月例パッチでYellowKeyが修正された翌日、同じBitLockerの別の穴が開いた。
GreatXML。Nightmare Eclipse氏が公開した8本目のゼロデイだ。
オフラインスキャンを一度でも実行した端末では、暗号化済みドライブが物理アクセスだけで丸見えになる。
発見から実証コードの完成まで4時間。CVEもパッチもない。
守るために入れた機能が、守りを壊す入口になっている。
TPMのみでは防げない。TPM+PINへの変更が急務だ。
joho-todai.com/defender-brea…
11
29
3,114