我們在9月份報(bào)告說Windows Defender添加了下載文件的功能通過命令行使用應(yīng)用程序，例如。

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

…它可以用來從因特網(wǎng)上下載一個(gè)二進(jìn)制文件。

雖然這本身不是一個(gè)漏洞，但該功能允許一個(gè)腳本啟動(dòng)命令行，使用本地所謂的“生活在陸地上的二進(jìn)制文件”或“LOLBINs”從internet導(dǎo)入更多文件。

現(xiàn)在，在Windows更新中發(fā)現(xiàn)了一個(gè)類似的功能，它允許黑客執(zhí)行惡意文件。

Bleeping Computer報(bào)告說，MDSec研究員David Middlehurst發(fā)現(xiàn)，攻擊者還可以使用wauclt，通過使用以下命令行選項(xiàng)從任意巧盡心思構(gòu)建的DLL加載wauclt，在Windows 10系統(tǒng)上執(zhí)行惡意代碼：

wauclt.exe/UpdateDeploymentProvider[路徑u到u dll]/RunHandlerComServer

這個(gè)技巧繞過了Windows用戶帳戶控制(UAC)或Windows Defender應(yīng)用程序控制(WDAC)，可以用來在已經(jīng)被破壞的系統(tǒng)上獲得持久性。

在做出這一發(fā)現(xiàn)后，他還發(fā)現(xiàn)黑客是第一位的找到一個(gè)樣本在野外耍把戲

針對(duì)先前的報(bào)告，Microsoft取消了從MpCmdRun.exe下載文件的功能。微軟將如何回應(yīng)這一最新消息，還有待觀察。