Una sofisticada metodología de ataque de clic cero llamado Rendershock que explota la vista previa de archivos pasivos y los comportamientos de indexación en los sistemas operativos modernos para ejecutar cargas útiles maliciosas sin requerir ninguna interacción del usuario.
A diferencia de las campañas de phishing tradicionales que dependen de los usuarios haciendo clic en enlaces maliciosos o abren accesorios infectados, RenderersHock aprovecha las características de automatización del sistema incorporadas para lograr un compromiso a través de procesos de fondo legítimos.
Control de llave
1. Renderershock ataca los sistemas de vista previa de archivos de explotación sin requerir la interacción del usuario.
2. Afecta el explorador de Windows, la apariencia rápida de macOS y los servicios automáticos de indexación de archivos.
3. Utiliza archivos LNK malicioso, PDF y documentos de oficina para activar el robo de NTLM y la ejecución del código.
4. Habilita la recolección de credenciales y el acceso remoto; Requiere deshabilitar los paneles de vista previa y bloquear el tráfico SMB.
Renderershock 0 hick vulnerabilidad
Cfygma informes que RenderShock se dirige a múltiples superficies de ejecución pasiva que se involucran automáticamente con el contenido de archivo sin una acción de usuario explícita.
La vulnerabilidad afecta el panel de vista previa del Explorador de Windows, la apariencia rápida de MacOS, los sistemas de vista previa del cliente de correo electrónico y los servicios de indexación de archivos, incluido Windows Search Indexer y Spotlight.
Renderershock Flujo de ejecución pasiva
Estos sistemas procesan archivos en la memoria, a menudo invocan a los manejadores de vista previa registrada que pueden activar la ejecución del código malicioso.
La metodología de ataque explota los subsistemas de vista previa al incorporar la lógica maliciosa en los metadatos del documento, utilizando rutas UNC para la recolección de credenciales de NTLM y aprovechando la ejecución de la macro de la oficina durante la representación previa.
Por ejemplo, un PDF elaborado con referencias externas puede desencadenar conexiones SMB salientes cuando se procesa mediante controladores de vista previa, potencialmente filtrando hashes NTLMV2 a los servidores controlados por el atacante.
Rendershock emplea técnicas de carga útil fundamental y avanzada. Las cargas útiles fundamentales incluyen archivos LNK maliciosos con rutas de icono UNC que hacen que Windows Explorer inicie la autenticación NTLM al navegar por carpetas y los archivos RTF que contienen inyecciones de campo que obtienen recursos remotos durante la vista previa.
Las técnicas avanzadas involucran formatos de archivo políglotas que confunden múltiples analizadores, inyección de plantilla remota en documentos de oficina sin macros y perfiles de color ICC envenenados en imágenes.
Una cadena de ataque típica implica crear un archivo .lnk malicioso con una ruta de icono remoto (\\ atacante-ip icon.ico), incrustarlo en un archivo zip y entregarlo a través de portales o directorios compartidos.
Cuando los usuarios observan el contenido ZIP, Windows intenta cargar automáticamente el icono remoto, activando solicitudes de autenticación SMB que pueden interceptarse utilizando herramientas como Responder:
Mitigaciones
La vulnerabilidad permite múltiples vectores de ataque, incluido el reconocimiento a través de balizas pasivas, robo de credenciales a través de la recolección de NTLMV2 y la ejecución de código remoto a través de la ejecución de macro basada en la vista previa.
Los atacantes pueden lograr la persistencia colocando archivos .desktop maliciosos o lanzadores en directorios de autostart de confianza, y realizar un movimiento lateral utilizando credenciales cosechadas.
Los equipos de seguridad deben implementar defensas integrales, incluida la desactivación de los paneles de vista previa en Windows Explorer y una vista rápida sobre los macOS, bloquear el tráfico SMB fuera de la SMB (TCP 445) a redes no confiables y hacer cumplir la macro bloqueo a través de la política de grupo.
Las organizaciones también deben implementar un monitoreo conductual para detectar una actividad de red inusual de procesos relacionados con la vista previa como Explorer.exe, SearchIndexer.exe y Quicklookd.
El marco Rendershock demuestra que el énfasis de los entornos informáticos modernos en la conveniencia del usuario crea rutas de ejecución silenciosas que no requieren interacción, desafiando fundamentalmente los supuestos de seguridad tradicionales sobre los ataques basados en archivos y que requieren una reevaluación de cómo los sistemas manejan el procesamiento de archivos pasivos.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
