Redazione RHC : 15 julio 2025 14:43
Una nueva forma de ataque digital llamada RenderShock ha afectado a los sistemas Windows corporativos. No requiere clics ni abrir archivos adjuntos: todo sucede completamente en segundo plano, mediante mecanismos confiables de vista previa e indexación integrados en el propio sistema operativo. A diferencia del malware clásico, RenderShock utiliza las llamadas superficies de ejecución pasivas, que son servicios que se ejecutan automáticamente y procesan archivos sin la intervención del usuario. Estas conexiones vulnerables incluyen paneles de vista previa del Explorador de Windows, antivirus, servicios de indexación y herramientas de sincronización en la nube.
La idea principal del ataque es utilizar procesos confiables del sistema para procesar archivos claramente maliciosos. Basta con que un archivo de este tipo se encuentre en una carpeta disponible para previsualización o indexación para que el mecanismo de infección se active de inmediato. Esto puede ocurrir si el archivo llega al correo electrónico corporativo, a una unidad compartida, a una carpeta en la nube o a través de una memoria USB. Incluso pasar el cursor sobre el archivo puede provocar un intento de conexión a un servidor remoto.
RenderShock funciona según un esquema de cinco etapas claramente estructurado. Primero, se crea un archivo malicioso, que puede ser un documento, una imagen o un enlace. Los atacantes colocan estos archivos en ubicaciones donde los sistemas garantizan su detección. La activación automática se produce cuando el archivo interactúa con uno de los componentes pasivos del sistema. Comienza entonces la recopilación de información, como el envío de consultas DNS o la captura de hashes NTLM para robar credenciales. La etapa final es la ejecución remota de código o una mayor penetración en la infraestructura.
El peligro particular de RenderShock es que el ataque se hace pasar por la actividad estándar de un proceso del sistema. Los procesos explorer.exe, searchindexer.exe o Microsoft Office Document Preview realizan acciones normales y pasan desapercibidos para la mayoría de los sistemas de seguridad. La mayoría de los programas antivirus corporativos no supervisan la actividad de red de estos procesos, lo que significa que no pueden reaccionar a tiempo.
Un ejemplo muestra cómo un archivo LNK infectado dentro de un archivo ZIP puede obligar al Explorador de Windows a descargar un icono vía SMB desde un servidor remoto. El sistema transmite automáticamente los datos de autenticación, incluso si el usuario no ha abierto nada. Estas acciones ocurren de forma instantánea y sigilosa.
El nuevo esquema RenderShock demuestra claramente cómo incluso las operaciones rutinarias, aparentemente seguras, se están volviendo vulnerables en los entornos empresariales actuales. Las organizaciones que dependen de vistas previas integradas e indexación automática deberían reconsiderar sus prácticas de seguridad.
Los expertos recomiendan deshabilitar las vistas previas de archivos, limitar el tráfico SMB saliente, reforzar la configuración de seguridad de Office y supervisar la actividad atípica de los procesos relacionados con las vistas previas. RenderShock desafía los principios fundamentales de confianza en los sistemas y requiere un enfoque completamente nuevo para la higiene digital en las empresas.
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...
Un descubrimiento reciente ha revelado una sofisticada técnica que elude el Control de Cuentas de Usuario (UAC) de Windows, lo que permite la escalada de privilegios sin la intervención del ...
En los últimos meses, el debate sobre la inteligencia artificial ha adquirido tintes cada vez más extremos. Por un lado, las grandes empresas que desarrollan y venden soluciones de IA est&#x...
Los sitios de filtración de datos (DLS) de bandas de ransomware representan una amenaza cada vez más extendida para las empresas y las personas que utilizan Internet. Estos sitios fueron cre...