Windows系统中从网络下载的文件有安全机制，但资源管理器对LNK文件的处理存在问题，可被黑客利用绕过安全检查，此问题已被发现并反馈给微软，微软称未来可能修复，同时提醒用户注意检查下载内容安全性。

🎯Windows系统设有安全机制，网络下载文件会被自动标记，打开时会弹出警告，筛选器SmartScreen和智能应用控制会检查文件安全性，但资源管理器对LNK快捷方式文件的处理存在漏洞。

💥攻击者可创建非标准目标路径或内部结构的LNK文件，正常应报错的文件，资源管理器会自动修正并删除标记，使其可打开且不再被视为网络下载文件，导致筛选器和智能应用控制不被触发。

⚠️该漏洞自2018年就被利用，Elastic Security Labs已将问题分享给微软安全响应中心，微软称未来Windows更新中可能修复，但具体时间未定，研究人员提醒用户尤其是企业用户应仔细检查下载内容安全性。

Windows 系统有个安全机制是从网络上下载的文件会被自动标记，当用户试图打开这些文件时则会弹出警告，用户也可以在文件属性中选择不对该文件警告。

负责这种警告的是筛选器 SmartScreen 和智能应用控制，当用户打开从网上下载的文件时，这两个安全机制都会被激活用来检查文件安全性。

Elastic Security Labs 的安全研究人员发现，Windows 资源管理器有时候会帮倒忙，对于 LNK 快捷方式这类文件，攻击者可以创建非标准目标路径或内部结构的 LNK 文件。

正常情况下对于非标或存在错误的文件应该直接报错，但资源管理器会在用户尝试打开这类文件时自动进行修正，修正的结果是错误的 LNK 文件确实可以打开了，但是标记被删除，也就是不再被视为从网络上下载。

既然标记已经被删除那么筛选器和智能应用控制都不会被触发，整个流程是这样的：用户从网上下载黑客特制的 LNK 文件并打开，资源管理器在一瞬间完成修正并删除标记并将其成功打开。

研究人员称借助该漏洞黑客可以绕过这两项安全检查，事实上这个缺陷自 2018 年开始就被利用了，因为在 VirusTotal 中有大量的样本，最早的样本就是 2018 年提交的。

Elastic Security Labs 已经将这个问题分享给微软安全响应中心，微软称可能会在未来的 Windows 更新中进行修复，至于具体时间暂时没有任何时间表。

研究人员警告称，对用户尤其是企业用户而言，应当仔细检查下载内容的安全性，而不是仅仅依靠操作系统原生的安全功能来提供保护。