匿名黑客连续放出Windows零日漏洞:Defender权限提升与BitLocker绕过双双沦陷
说实话,安全圈最近这波节奏有点密集。就在6月补丁日过去没几个小时,一位代号“夜行星球”的匿名黑客,一口气丢出了两枚Windows零日漏洞——RoguePlanet和GreatXML。这已经是自今年4月以来,同一个人放出的第七和第八个公开漏洞了,导致Windows安全漏洞再度成为焦点。

先说说RoguePlanet。这个漏洞瞄准的是微软Defender实时扫描引擎里一个不太起眼的竞争条件,属于典型的Defender权限提升漏洞。通俗点讲,就是低权限用户可以通过植入恶意符号链接,干扰Defender的正常扫描流程,诱导它把自己“覆盖”成攻击者想要的样子,最终以系统最高权限执行任意代码。多名安全研究员已经验证了:就算你的系统打上了2026年6月的补丁,Win10或Win11依然可以复现这个Windows零日漏洞。
而另一位主角GreatXML,走的是另一个路线。它利用的是Defender在离线扫描时触发的Windows恢复环境的一个特殊状态,从而实现了BitLocker绕过。只要攻击者有物理接触,就能在TPM加密设备上绕过BitLocker——哪怕你设的是TPM-Only无PIN码配置,也一样能被直接拿下加密卷的访问权限,连登录凭证都不需要。这意味着BitLocker绕过漏洞可能对高价值设备构成严重威胁。
不过,知名漏洞分析师Will Dormann实测后给了一个相对冷静的判断:触发条件比描述中要苛刻得多,实际威胁有多大,还得打个问号。但即便如此,这两个Windows零日漏洞已经引起安全社区的高度警惕。

这位Nightmare Eclipse自称曾是微软员工,因为漏洞奖励的纠纷被微软封了GitHub和MSRC账户。于是从4月开始,他干脆玩起了公开渠道,在自己博客上陆续放出武器化漏洞。微软上周已经针对此前披露的六枚漏洞修复了三枚,但RoguePlanet和GreatXML目前还没有对应的补丁,意味着Defender权限提升和BitLocker绕过这两枚零日漏洞仍处于未修复状态。
值得庆幸的是,两枚漏洞都还没有被大规模利用的迹象。但考虑到攻击者持续公开发布武器化代码,安全团队最好现在就排查Defender的实时扫描配置,并对高价值设备实施更严格的物理访问限制。毕竟,Windows零日漏洞这东西,没人知道它什么时候会从“理论风险”变成“实战灾难”。及时关注安全漏洞公告并采取防护措施,才是降低风险的关键。
