更新日期:2013-01-09 作者:技术员联盟官网 来源:http://www.jishuyuan.cc
你们在9月份报告说win defender添加了下载文件的功能通过命令行使用应用程序,例如。
MpCmdRun.exe -downloadFile -url [url] -path [path_to_save_file]
…它可以用来从因特网上下载一个二进制文件。
虽然这本身不是一个漏洞,但该功能允许一个脚本启动命令行,使用本地所谓的“生活在陆地上的二进制文件”或“LoLBins”从internet导入众多文件。
现在,在win升级中发现了一个类似的功能,它允许黑客执行恶意文件。
Bleeping Computer报告说,Mdsec研究员david Middlehurst发现,攻击者还可以使用wauclt,通过使用以下命令行选项从任意巧尽心思构建的dLL加载wauclt,在win 7系统上执行恶意代码:
wauclt.exe/updatedeploymentprovider[路径\u到\u dll]/RunHandlerComserver
这个技巧绕过了win用户帐户控制(uAC)或win defender应用程序控制(wdAC),可以用来在已经被破坏的系统上获得持久性。
在做出这一发现后,他还发现黑客是第一位的找到一个样本在野外耍把戏
针对先前的报告,Microsoft取消了从MpCmdRun.exe下载文件的功能。微软将怎么回应这一最新消息,还有待观察。