匿名黑客连续放出Windows零日漏洞：Defender权限提升与BitLocker绕过双双沦陷

说实话，安全圈最近这波节奏有点密集。就在6月补丁日过去没几个小时，一位代号“夜行星球”的匿名黑客，一口气丢出了两枚Windows零日漏洞——RoguePlanet和GreatXML。这已经是自今年4月以来，同一个人放出的第七和第八个公开漏洞了，导致Windows安全漏洞再度成为焦点。

先说说RoguePlanet。这个漏洞瞄准的是微软Defender实时扫描引擎里一个不太起眼的竞争条件，属于典型的Defender权限提升漏洞。通俗点讲，就是低权限用户可以通过植入恶意符号链接，干扰Defender的正常扫描流程，诱导它把自己“覆盖”成攻击者想要的样子，最终以系统最高权限执行任意代码。多名安全研究员已经验证了：就算你的系统打上了2026年6月的补丁，Win10或Win11依然可以复现这个Windows零日漏洞。

而另一位主角GreatXML，走的是另一个路线。它利用的是Defender在离线扫描时触发的Windows恢复环境的一个特殊状态，从而实现了BitLocker绕过。只要攻击者有物理接触，就能在TPM加密设备上绕过BitLocker——哪怕你设的是TPM-Only无PIN码配置，也一样能被直接拿下加密卷的访问权限，连登录凭证都不需要。这意味着BitLocker绕过漏洞可能对高价值设备构成严重威胁。

不过，知名漏洞分析师Will Dormann实测后给了一个相对冷静的判断：触发条件比描述中要苛刻得多，实际威胁有多大，还得打个问号。但即便如此，这两个Windows零日漏洞已经引起安全社区的高度警惕。

这位Nightmare Eclipse自称曾是微软员工，因为漏洞奖励的纠纷被微软封了GitHub和MSRC账户。于是从4月开始，他干脆玩起了公开渠道，在自己博客上陆续放出武器化漏洞。微软上周已经针对此前披露的六枚漏洞修复了三枚，但RoguePlanet和GreatXML目前还没有对应的补丁，意味着Defender权限提升和BitLocker绕过这两枚零日漏洞仍处于未修复状态。

值得庆幸的是，两枚漏洞都还没有被大规模利用的迹象。但考虑到攻击者持续公开发布武器化代码，安全团队最好现在就排查Defender的实时扫描配置，并对高价值设备实施更严格的物理访问限制。毕竟，Windows零日漏洞这东西，没人知道它什么时候会从“理论风险”变成“实战灾难”。及时关注安全漏洞公告并采取防护措施，才是降低风险的关键。