Windows Defender增加了使用该应用程序通过命令行下载文件的功能,例如
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]
…可用于从互联网下载任意二进制文件。
该功能本身并不是一种利用,但它允许脚本启动脚本,以使用本地的所谓的“非本地二进制文件”或LOLBIN从Internet导入其他文件。
现在,在Windows Update中发现了类似的功能,使黑客可以执行恶意文件。
Bleeping Computer报告称MDSec研究人员David Middlehurst已发现,攻击者还可以通过使用以下命令行选项从任意特制的DLL加载wuauclt,从而在Windows 10系统上执行恶意代码:
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServer
该技巧绕过Windows用户帐户控制(UAC)或Windows Defender应用程序控制(WDAC),可用于在已经受到威胁的系统上获得持久性。
在发现之后,他还发现黑客是第一批黑客,因为他发现了一个在野外欺骗性地使用它的样本。
为了响应早期的报告,Microsoft删除了从MpCmdRun.exe下载文件的功能。微软将如何回应最新消息还有待观察。