Redazione RHC : 15 julio 2025 14:43
Una nueva forma de ataque digital llamada RenderShock ha afectado a los sistemas Windows corporativos. No requiere clics ni abrir archivos adjuntos: todo sucede completamente en segundo plano, mediante mecanismos confiables de vista previa e indexación integrados en el propio sistema operativo. A diferencia del malware clásico, RenderShock utiliza las llamadas superficies de ejecución pasivas, que son servicios que se ejecutan automáticamente y procesan archivos sin la intervención del usuario. Estas conexiones vulnerables incluyen paneles de vista previa del Explorador de Windows, antivirus, servicios de indexación y herramientas de sincronización en la nube.
La idea principal del ataque es utilizar procesos confiables del sistema para procesar archivos claramente maliciosos. Basta con que un archivo de este tipo se encuentre en una carpeta disponible para previsualización o indexación para que el mecanismo de infección se active de inmediato. Esto puede ocurrir si el archivo llega al correo electrónico corporativo, a una unidad compartida, a una carpeta en la nube o a través de una memoria USB. Incluso pasar el cursor sobre el archivo puede provocar un intento de conexión a un servidor remoto.
RenderShock funciona según un esquema de cinco etapas claramente estructurado. Primero, se crea un archivo malicioso, que puede ser un documento, una imagen o un enlace. Los atacantes colocan estos archivos en ubicaciones donde los sistemas garantizan su detección. La activación automática se produce cuando el archivo interactúa con uno de los componentes pasivos del sistema. Comienza entonces la recopilación de información, como el envío de consultas DNS o la captura de hashes NTLM para robar credenciales. La etapa final es la ejecución remota de código o una mayor penetración en la infraestructura.
El peligro particular de RenderShock es que el ataque se hace pasar por la actividad estándar de un proceso del sistema. Los procesos explorer.exe, searchindexer.exe o Microsoft Office Document Preview realizan acciones normales y pasan desapercibidos para la mayoría de los sistemas de seguridad. La mayoría de los programas antivirus corporativos no supervisan la actividad de red de estos procesos, lo que significa que no pueden reaccionar a tiempo.
Un ejemplo muestra cómo un archivo LNK infectado dentro de un archivo ZIP puede obligar al Explorador de Windows a descargar un icono vía SMB desde un servidor remoto. El sistema transmite automáticamente los datos de autenticación, incluso si el usuario no ha abierto nada. Estas acciones ocurren de forma instantánea y sigilosa.
El nuevo esquema RenderShock demuestra claramente cómo incluso las operaciones rutinarias, aparentemente seguras, se están volviendo vulnerables en los entornos empresariales actuales. Las organizaciones que dependen de vistas previas integradas e indexación automática deberían reconsiderar sus prácticas de seguridad.
Los expertos recomiendan deshabilitar las vistas previas de archivos, limitar el tráfico SMB saliente, reforzar la configuración de seguridad de Office y supervisar la actividad atípica de los procesos relacionados con las vistas previas. RenderShock desafía los principios fundamentales de confianza en los sistemas y requiere un enfoque completamente nuevo para la higiene digital en las empresas.
Esta herramienta está diseñada exclusivamente para fines educativos y de pruebas de penetración autorizados. El autor no asume ninguna responsabilidad por el mal uso o los daños ca...
Recientemente, el popular foro clandestino exploit.in, actualmente cerrado y accesible solo por invitación, ha estado ofreciendo exploits para una vulnerabilidad de día cero que afecta a los...
Muchas personas desean comprender con precisión el fenómeno del ransomware, su significado, los métodos de violación y los delitos que lo rodean, y les cuesta encontrar informaci&#...
Autore: 5ar0m4n Data Pubblicazione: 7/11/2021 Abbiamo spesso affrontato l’argomento dei cavi sottomarini su RHC dove abbiamo parlato del primo cavo sottomarino della storia e dell’ultimo p...
Las autoridades españolas investigan a un hacker que filtró información sensible sobre funcionarios públicos y figuras políticas. Los datos publicados incluyen el supuesto n&#...
Para más información: [email protected]