Ты просто навёл мышку — и потерял всё. Разбор атаки RenderShock

На корпоративные Windows-системы обрушилась новая форма цифровой атаки, получившая название RenderShock. Она не требует ни кликов, ни открытия вложений — всё происходит полностью в фоне, через доверенные механизмы предпросмотра и индексации, встроенные в саму операционную систему.

В отличие от классических вредоносных программ, RenderShock использует так называемые пассивные поверхности выполнения — это службы, которые работают автоматически и обрабатывают файлы без участия пользователя. Среди таких уязвимых звеньев оказались панели предпросмотра в проводнике, антивирусные сканеры, службы индексирования и инструменты синхронизации с облаком .

Основная идея атаки — использовать доверенные системные процессы для обработки заведомо вредоносных файлов. Достаточно, чтобы такой файл оказался в папке, доступной для предпросмотра или индексирования, — как сразу же запускается механизм заражения. Это может произойти, если файл попадает в корпоративную почту, на общий диск, в облачную папку или через флешку. Даже простое наведение курсора на файл может привести к попытке подключения к удалённому серверу.

RenderShock работает по чётко выстроенной схеме из пяти этапов. Сначала создаётся вредоносный файл — это может быть документ, изображение, ярлык или файл-полиглот, совмещающий сразу несколько форматов. Далее злоумышленники размещают такие файлы в местах, откуда системы их гарантированно подхватят.

После этого происходит автоматическая активация, когда файл взаимодействует с одним из пассивных компонентов системы. Затем начинается сбор информации — например, путём отправки DNS-запросов или захвата хэшей NTLM для кражи учётных данных. Финальный этап — выполнение удалённого кода или дальнейшее проникновение внутрь инфраструктуры.

Особая опасность RenderShock заключается в том, что атака маскируется под стандартную активность системных процессов. Процессы explorer.exe, searchindexer.exe или preview-обработчики документов Microsoft Office выполняют «обычные действия» — и остаются незамеченными для большинства систем безопасности. Большинство корпоративных антивирусов не отслеживают сетевую активность таких процессов, а значит — не могут вовремя отреагировать.

Один из примеров показывает, как заражённый LNK-файл внутри ZIP-архива может заставить Windows Explorer загрузить иконку по SMB с удалённого сервера. При этом система автоматически передаёт данные аутентификации, даже если пользователь ничего не открывал. Подобные действия происходят мгновенно и скрытно.

Новая схема RenderShock наглядно демонстрирует, насколько уязвимыми становятся даже рутинные и кажущиеся безопасными операции в современных корпоративных средах. Организации, полагающиеся на встроенные средства предпросмотра и автоматическую индексацию, должны пересмотреть свои подходы к безопасности.

Специалисты рекомендуют отключать предпросмотр файлов, ограничить выходящий SMB-трафик, ужесточить настройки безопасности Office и отслеживать нетипичную активность со стороны процессов, связанных с предпросмотром. RenderShock ставит под сомнение фундаментальные принципы доверия к собственным системам — и требует совершенно нового подхода к цифровой гигиене в компаниях.