Redazione RHC : 15 julio 2025 14:43
Una nueva forma de ataque digital llamada RenderShock ha afectado a los sistemas Windows corporativos. No requiere clics ni abrir archivos adjuntos: todo sucede completamente en segundo plano, mediante mecanismos confiables de vista previa e indexación integrados en el propio sistema operativo. A diferencia del malware clásico, RenderShock utiliza las llamadas superficies de ejecución pasivas, que son servicios que se ejecutan automáticamente y procesan archivos sin la intervención del usuario. Estas conexiones vulnerables incluyen paneles de vista previa del Explorador de Windows, antivirus, servicios de indexación y herramientas de sincronización en la nube.
La idea principal del ataque es utilizar procesos confiables del sistema para procesar archivos claramente maliciosos. Basta con que un archivo de este tipo se encuentre en una carpeta disponible para previsualización o indexación para que el mecanismo de infección se active de inmediato. Esto puede ocurrir si el archivo llega al correo electrónico corporativo, a una unidad compartida, a una carpeta en la nube o a través de una memoria USB. Incluso pasar el cursor sobre el archivo puede provocar un intento de conexión a un servidor remoto.
RenderShock funciona según un esquema de cinco etapas claramente estructurado. Primero, se crea un archivo malicioso, que puede ser un documento, una imagen o un enlace. Los atacantes colocan estos archivos en ubicaciones donde los sistemas garantizan su detección. La activación automática se produce cuando el archivo interactúa con uno de los componentes pasivos del sistema. Comienza entonces la recopilación de información, como el envío de consultas DNS o la captura de hashes NTLM para robar credenciales. La etapa final es la ejecución remota de código o una mayor penetración en la infraestructura.
El peligro particular de RenderShock es que el ataque se hace pasar por la actividad estándar de un proceso del sistema. Los procesos explorer.exe, searchindexer.exe o Microsoft Office Document Preview realizan acciones normales y pasan desapercibidos para la mayoría de los sistemas de seguridad. La mayoría de los programas antivirus corporativos no supervisan la actividad de red de estos procesos, lo que significa que no pueden reaccionar a tiempo.
Un ejemplo muestra cómo un archivo LNK infectado dentro de un archivo ZIP puede obligar al Explorador de Windows a descargar un icono vía SMB desde un servidor remoto. El sistema transmite automáticamente los datos de autenticación, incluso si el usuario no ha abierto nada. Estas acciones ocurren de forma instantánea y sigilosa.
El nuevo esquema RenderShock demuestra claramente cómo incluso las operaciones rutinarias, aparentemente seguras, se están volviendo vulnerables en los entornos empresariales actuales. Las organizaciones que dependen de vistas previas integradas e indexación automática deberían reconsiderar sus prácticas de seguridad.
Los expertos recomiendan deshabilitar las vistas previas de archivos, limitar el tráfico SMB saliente, reforzar la configuración de seguridad de Office y supervisar la actividad atípica de los procesos relacionados con las vistas previas. RenderShock desafía los principios fundamentales de confianza en los sistemas y requiere un enfoque completamente nuevo para la higiene digital en las empresas.
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
