Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

RenderShock: La nueva amenaza digital que ataca los sistemas Windows con un clic del ratón

Redazione RHC : 15 julio 2025 14:43

Una nueva forma de ataque digital llamada RenderShock ha afectado a los sistemas Windows corporativos. No requiere clics ni abrir archivos adjuntos: todo sucede completamente en segundo plano, mediante mecanismos confiables de vista previa e indexación integrados en el propio sistema operativo. A diferencia del malware clásico, RenderShock utiliza las llamadas superficies de ejecución pasivas, que son servicios que se ejecutan automáticamente y procesan archivos sin la intervención del usuario. Estas conexiones vulnerables incluyen paneles de vista previa del Explorador de Windows, antivirus, servicios de indexación y herramientas de sincronización en la nube.

La idea principal del ataque es utilizar procesos confiables del sistema para procesar archivos claramente maliciosos. Basta con que un archivo de este tipo se encuentre en una carpeta disponible para previsualización o indexación para que el mecanismo de infección se active de inmediato. Esto puede ocurrir si el archivo llega al correo electrónico corporativo, a una unidad compartida, a una carpeta en la nube o a través de una memoria USB. Incluso pasar el cursor sobre el archivo puede provocar un intento de conexión a un servidor remoto.

RenderShock funciona según un esquema de cinco etapas claramente estructurado. Primero, se crea un archivo malicioso, que puede ser un documento, una imagen o un enlace. Los atacantes colocan estos archivos en ubicaciones donde los sistemas garantizan su detección. La activación automática se produce cuando el archivo interactúa con uno de los componentes pasivos del sistema. Comienza entonces la recopilación de información, como el envío de consultas DNS o la captura de hashes NTLM para robar credenciales. La etapa final es la ejecución remota de código o una mayor penetración en la infraestructura.

El peligro particular de RenderShock es que el ataque se hace pasar por la actividad estándar de un proceso del sistema. Los procesos explorer.exe, searchindexer.exe o Microsoft Office Document Preview realizan acciones normales y pasan desapercibidos para la mayoría de los sistemas de seguridad. La mayoría de los programas antivirus corporativos no supervisan la actividad de red de estos procesos, lo que significa que no pueden reaccionar a tiempo.

Un ejemplo muestra cómo un archivo LNK infectado dentro de un archivo ZIP puede obligar al Explorador de Windows a descargar un icono vía SMB desde un servidor remoto. El sistema transmite automáticamente los datos de autenticación, incluso si el usuario no ha abierto nada. Estas acciones ocurren de forma instantánea y sigilosa.

El nuevo esquema RenderShock demuestra claramente cómo incluso las operaciones rutinarias, aparentemente seguras, se están volviendo vulnerables en los entornos empresariales actuales. Las organizaciones que dependen de vistas previas integradas e indexación automática deberían reconsiderar sus prácticas de seguridad.

Los expertos recomiendan deshabilitar las vistas previas de archivos, limitar el tráfico SMB saliente, reforzar la configuración de seguridad de Office y supervisar la actividad atípica de los procesos relacionados con las vistas previas. RenderShock desafía los principios fundamentales de confianza en los sistemas y requiere un enfoque completamente nuevo para la higiene digital en las empresas.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Probando el exploit: HackerHood prueba el exploit en el servidor WingFTP del CVE‑2025‑47812 con una puntuación de 10

Esta herramienta está diseñada exclusivamente para fines educativos y de pruebas de penetración autorizados. El autor no asume ninguna responsabilidad por el mal uso o los daños ca...

Exploit RCE 0day para WinRAR y WinZIP a la venta en Exploit.in para correos electrónicos fraudulentos de phishing.

Recientemente, el popular foro clandestino exploit.in, actualmente cerrado y accesible solo por invitación, ha estado ofreciendo exploits para una vulnerabilidad de día cero que afecta a los...

¿Qué es el ransomware? Exploremos cómo funciona RaaS y qué significa.

Muchas personas desean comprender con precisión el fenómeno del ransomware, su significado, los métodos de violación y los delitos que lo rodean, y les cuesta encontrar informaci&#...

Cables submarinos y la «ciberguerra del fondo marino». Entre el control, la geopolítica y la tecnología.

Autore: 5ar0m4n Data Pubblicazione: 7/11/2021 Abbiamo spesso affrontato l’argomento dei cavi sottomarini su RHC dove abbiamo parlato del primo cavo sottomarino della storia e dell’ultimo p...

Un hacker filtra datos sensibles de políticos españoles. También está implicado el presidente del Gobierno, Pedro Sánchez.

Las autoridades españolas investigan a un hacker que filtró información sensible sobre funcionarios públicos y figuras políticas. Los datos publicados incluyen el supuesto n&#...