我们在9月份报告说Windows Defender添加了下载文件的功能通过命令行使用应用程序，例如。

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

…它可以用来从因特网上下载一个二进制文件。

虽然这本身不是一个漏洞，但该功能允许一个脚本启动命令行，使用本地所谓的“生活在陆地上的二进制文件”或“LOLBINs”从internet导入更多文件。

现在，在Windows更新中发现了一个类似的功能，它允许黑客执行恶意文件。

Bleeping Computer报告说，MDSec研究员David Middlehurst发现，攻击者还可以使用wauclt，通过使用以下命令行选项从任意巧尽心思构建的DLL加载wauclt，在Windows 10系统上执行恶意代码：

wauclt.exe/UpdateDeploymentProvider[路径u到u dll]/RunHandlerComServer

这个技巧绕过了Windows用户帐户控制(UAC)或Windows Defender应用程序控制(WDAC)，可以用来在已经被破坏的系统上获得持久性。

在做出这一发现后，他还发现黑客是第一位的找到一个样本在野外耍把戏

针对先前的报告，Microsoft取消了从MpCmdRun.exe下载文件的功能。微软将如何回应这一最新消息，还有待观察。