最近，一位安全研究人员发现了一种方法，可以绕过2017年10月在Windows 10中添加的“受控文件夹访问（Controlled Folder Access）”功能，微软称这是一个可靠的反勒索软件防御措施。

“受控文件夹访问”的介绍

勒索软件日益猖獗，除了安装一般的杀毒软件和防火墙之外，windows10系统还添加了"受控文件夹访问"功能。微软称借助这个功能，微软能够帮助不主动更新系统的用户抵御类似于WannaCry、Petya这样的勒索病毒攻击。

这个功能的工作原理是这样的：受控文件夹访问能够监视哪些应用修改文件内容，如果一个应用程序试图对文件夹做修改，并且该功能已被列入黑名单，那么在保护同时还会发出相关系统通知。你可以添加受保护文件夹的附加位置，并添加可用允许访问这些文件夹的应用程序。

 “受控文件夹访问”会被内置在所有版本的Windows 10中，当用户更新到Windows 10 Fall Creators Update(秋季创意者更新)时，会收到了一个名为“受控文件夹访问”的Windows Defender Update，以允许他们阻止对用户指定目录中文件的任何修改。

用户必须手动批准任何允许在CFA文件夹中编辑文件的应用程序，通过将每个应用程序的可执行文件添加到“允许应用程序通过受控文件夹访问”选项管理的白名单中。

但是，SecurityByDefault的西班牙安全研究员Yago Jesus发现，微软已经将列表中的所有Office应用自动列入白名单。这意味着Office应用程序可以修改位于CFA文件夹中的文件，无论用户是否喜欢。

勒索软件可以使用Office OLE对象绕过“受控文件夹访问”

Jesus发现，勒索软件的幕后开发人员可以通过添加一些简单的脚本，从而通过Office文件中的OLE对象轻松绕过“受控文件夹访问”的反勒索功能。

在Jesus周末发表的文章中，Jesus列举了三个通过垃圾邮件进行传播的office恶意文件，它们都可以覆盖存储在CFA文件夹内的其他Office文件内容、密码保护文件或将正常文件内容复制到位于CFA文件夹之外的文件中，然后对其进行加密，并删除原文件以便对受害者进行勒索。

微软的反应

Jesus已经通知了微软他发现的漏洞。但通过下图，我们可以发现Jesus从微软收到的电子邮件中，微软并没有将这个问题归类为安全漏洞，而是表示将在未来版本中改进CFA来解决此漏洞。

Jesus表示：

这意味着微软虽然会修复这个漏洞，但并不会承认这就是个漏洞，这说明我不会因发现了真正的漏洞而得到微软的赏金，这让我的辛苦得不到回报，很是懊恼。