Windows 系统有个安全机制是从网络上下载的文件会被自动标记,当用户试图打开这些文件时则会弹出警告,用户也可以在文件属性中选择不对该文件警告。
负责这种警告的是筛选器 SmartScreen 和智能应用控制,当用户打开从网上下载的文件时,这两个安全机制都会被激活用来检查文件安全性。
Elastic Security Labs 的安全研究人员发现,Windows 资源管理器有时候会帮倒忙,对于 LNK 快捷方式这类文件,攻击者可以创建非标准目标路径或内部结构的 LNK 文件。
正常情况下对于非标或存在错误的文件应该直接报错,但资源管理器会在用户尝试打开这类文件时自动进行修正,修正的结果是错误的 LNK 文件确实可以打开了,但是标记被删除,也就是不再被视为从网络上下载。
既然标记已经被删除那么筛选器和智能应用控制都不会被触发,整个流程是这样的:用户从网上下载黑客特制的 LNK 文件并打开,资源管理器在一瞬间完成修正并删除标记并将其成功打开。
研究人员称借助该漏洞黑客可以绕过这两项安全检查,事实上这个缺陷自 2018 年开始就被利用了,因为在 VirusTotal 中有大量的样本,最早的样本就是 2018 年提交的。
Elastic Security Labs 已经将这个问题分享给微软安全响应中心,微软称可能会在未来的 Windows 更新中进行修复,至于具体时间暂时没有任何时间表。
研究人员警告称,对用户尤其是企业用户而言,应当仔细检查下载内容的安全性,而不是仅仅依靠操作系统原生的安全功能来提供保护。