Windows 系统有个安全机制是从网络上下载的文件会被自动标记，当用户试图打开这些文件时则会弹出警告，用户也可以在文件属性中选择不对该文件警告。

负责这种警告的是筛选器 SmartScreen 和智能应用控制，当用户打开从网上下载的文件时，这两个安全机制都会被激活用来检查文件安全性。

Elastic Security Labs 的安全研究人员发现，Windows 资源管理器有时候会帮倒忙，对于 LNK 快捷方式这类文件，攻击者可以创建非标准目标路径或内部结构的 LNK 文件。

正常情况下对于非标或存在错误的文件应该直接报错，但资源管理器会在用户尝试打开这类文件时自动进行修正，修正的结果是错误的 LNK 文件确实可以打开了，但是标记被删除，也就是不再被视为从网络上下载。

既然标记已经被删除那么筛选器和智能应用控制都不会被触发，整个流程是这样的：用户从网上下载黑客特制的 LNK 文件并打开，资源管理器在一瞬间完成修正并删除标记并将其成功打开。

研究人员称借助该漏洞黑客可以绕过这两项安全检查，事实上这个缺陷自 2018 年开始就被利用了，因为在 VirusTotal 中有大量的样本，最早的样本就是 2018 年提交的。

Elastic Security Labs 已经将这个问题分享给微软安全响应中心，微软称可能会在未来的 Windows 更新中进行修复，至于具体时间暂时没有任何时间表。

研究人员警告称，对用户尤其是企业用户而言，应当仔细检查下载内容的安全性，而不是仅仅依靠操作系统原生的安全功能来提供保护。