近期,网络安全领域再度曝出针对微软 Windows 系统的严重零日漏洞。一名化名为 Nightmare Eclipse 的研究员接连公布了两个全新漏洞,分别命名为 RoguePlanet 与 GreatXML。这两项漏洞分别利用微软 Defender 防病毒软件的权限提升机制,以及 BitLocker 加密功能的绕过路径,迅速引起了安全社区的广泛关注。

值得注意的是,此次漏洞披露的时间点恰逢微软原定于2026年6月发布月度安全更新前的数小时。这已是该研究员自2026年4月以来公开的第七和第八个零日漏洞。截至目前,微软尚未就这两个新披露的漏洞发布任何官方补丁。
RoguePlanet漏洞:借助Defender获取系统最高权限
RoguePlanet漏洞的核心在于微软 Defender 实时扫描引擎中存在的一处竞态条件。攻击者可通过植入恶意符号链接干扰扫描流程,诱导 Defender 覆盖其自身的文件。一旦成功利用该漏洞,攻击者即可在 Windows 系统中以最高权限——SYSTEM 权限执行任意代码。多名独立安全研究员已证实,该攻击在已安装2026年6月最新安全补丁的 Windows 10 和 Windows 11 系统上依然能够成功复现。
GreatXML漏洞:物理接触即可绕过BitLocker加密
另一项被披露的 GreatXML 漏洞则瞄准了 Windows 的 BitLocker 磁盘加密功能。该漏洞通过触发 Defender 离线扫描,使系统进入 Windows 恢复环境(WinRE)的特殊状态。攻击者借此可在物理接触设备的情况下,绕过 TPM 加密设备的 BitLocker 保护。这意味着,即使设备采用了最严格的 TPM-Only 加密配置,攻击者也无需输入任何 PIN 码或登录凭证,即可直接访问加密磁盘卷。不过,知名漏洞分析师 Will Dormann 在实测后指出,该漏洞的触发条件比描述更为苛刻,其实际威胁程度仍有待进一步评估。
据披露者自称,其曾是微软前员工,因与微软在漏洞赏金计划上产生纠纷,导致其 GitHub 和微软安全响应中心(MSRC)账户被封禁,因此自4月起通过个人博客持续发布这些已被武器化的漏洞细节。微软在上周已针对该研究员此前披露的六枚零日漏洞中的三枚发布了修复程序,但对于最新的 RoguePlanet 和 GreatXML,用户目前仍需等待官方的安全更新。
