微软Defender遭两枚零日漏洞攻击：黑帽研究员破防

匿名黑客连环披露Windows零日漏洞：Defender提权与BitLocker绕过双双告破

安全圈近期压力骤增。就在6月补丁日过后仅数小时，化名“夜行星球”的黑客一次性公开了两枚Windows零日漏洞——RoguePlanet与GreatXML。这已是自今年4月以来，同一行为人发布的第七和第八个公开漏洞。

先看RoguePlanet。该漏洞击中微软Defender实时扫描引擎中一处隐蔽的竞争条件缺陷。低权限用户能够植入恶意符号链接，操纵Defender的正常扫描流程，诱使其将自身“覆盖”为攻击者预谋的形态，最终以系统最高权限执行任意代码。多位安全研究员已确认：即便系统已安装2026年6月累积更新，Windows 10或Windows 11环境依然可稳定触发。

另一枚漏洞GreatXML则走的完全不同的路径。它利用Defender在离线扫描时触发Windows恢复环境中的一种特殊状态。攻击者只需物理接触，就能在TPM加密设备上绕过BitLocker——哪怕设备仅配置TPM-Only且无PIN码，加密卷的访问权限也会被直接夺取，无须任何登录凭证。

不过，资深漏洞分析师Will Dormann实测后给出了相对克制的判断：触发条件远不如描述中那样宽松，实际威胁等级仍需谨慎评估。

这位自称Nightmare Eclipse的黑客声称曾是微软员工，因漏洞奖励纠纷遭微软封禁GitHub及MSRC账户。自4月起，他开始通过博客渠道陆续公开武器化漏洞代码。微软上周已修复此前披露的六枚漏洞中的三枚，但RoguePlanet与GreatXML目前仍无官方补丁。

值得庆幸的是，两枚漏洞尚未出现大规模利用迹象。但考虑到攻击者持续公开发布武器化代码，安全团队应即刻审查Defender实时扫描配置，并对高价值资产实施更严格的物理访问管控。零日漏洞的威胁，永远在“理论风险”与“实战灾难”之间游走。谁也无法预测下一次转折何时到来。