剣 KENSAI
← All posts · security · 2026-03-12 · 16 min

Microsoft Patch Tuesday में 84 फ़िक्स, ईरानी वाइपर से Stryker तबाह, FortiGate क्रेडेंशियल बड़े पैमाने पर चोरी

Microsoft का मार्च 2026 Patch Tuesday 2 सार्वजनिक ज़ीरो-डे सहित 84 कमजोरियों को संबोधित करता है। ईरानी हैक्टिविस्ट मेडटेक कंपनी Stryker के 200,000+ डिवाइस मिटाने का दावा करते हैं। FortiGate फ़ायरवॉल से AD/LDAP क्रेडेंशियल चोरी। Perplexity का AI ब्राउज़र 4 मिनट से कम में फ़िशिंग में फंसाया गया। साथ ही: KadNap बॉटनेट, npm सप्लाई चेन हमले, n8n RCE शोषण, Meta की धोखाधड़ी कार्रवाई, Google का $32B Wiz सौदा, और BlackSanta EDR किलर जो HR विभागों को निशाना बना रहा है।


🔧 Microsoft मार्च 2026 Patch Tuesday — 84 खामियाँ, 2 सार्वजनिक ज़ीरो-डे

⚠️ गंभीर: 84 कमजोरियाँ पैच की गईं — 2 ज़ीरो-डे सार्वजनिक

Microsoft का मार्च 2026 Patch Tuesday 84 सुरक्षा खामियों को ठीक करता है: 8 गंभीर, 76 महत्वपूर्ण। पैच उपलब्ध होने से पहले दो कमजोरियाँ सार्वजनिक रूप से प्रकट की गई थीं। सभी NIS2-विनियमित संस्थाओं को तत्काल तैनाती को प्राथमिकता देनी चाहिए।

Microsoft ने अपना मार्च 2026 सुरक्षा अपडेट जारी किया है, जो Windows इकोसिस्टम में 84 कमजोरियों को संबोधित करता है। विश्लेषण से पता चलता है कि विशेषाधिकार वृद्धि पर भारी जोर है — यह स्पष्ट संकेत है कि हमलावर समझौते के बाद पार्श्व गतिविधि पर केंद्रित हैं।

श्रेणी संख्या जोखिम स्तर
विशेषाधिकार वृद्धि46उच्च — पार्श्व गतिविधि संभव
रिमोट कोड निष्पादन18गंभीर — प्रारंभिक पहुँच संभव
सूचना प्रकटीकरण10मध्यम — टोही संभव
स्पूफिंग4मध्यम
सेवा अस्वीकृति4मध्यम
सुरक्षा सुविधा बाईपास2उच्च

दो सार्वजनिक ज़ीरो-डे

CVE-2026-26127 (CVSS 7.5) — .NET में एक सेवा अस्वीकृति कमजोरी जो पैच से पहले सार्वजनिक रूप से प्रकट की गई थी। हमलावर .NET-आधारित सेवाओं को दूर से क्रैश कर सकते हैं, जिससे फ्रेमवर्क पर बने वेब एप्लिकेशन और API की उपलब्धता प्रभावित होती है।

CVE-2026-21262 (CVSS 8.8) — SQL Server में एक विशेषाधिकार वृद्धि कमजोरी। उच्च CVSS स्कोर और सार्वजनिक प्रकटीकरण के साथ, यह उत्पादन वातावरण में SQL Server चलाने वाले संगठनों के लिए विशेष रूप से खतरनाक है। एक प्रमाणित हमलावर डेटाबेस प्रशासक विशेषाधिकारों तक बढ़ सकता है।

इसके अतिरिक्त, Microsoft ने अलग से 10 Chromium/Edge कमजोरियों को संबोधित किया, जिससे इस चक्र में कुल उपचार भार 94 फ़िक्स तक पहुँच गया।

🛡️ पैच प्राथमिकता

  • तत्काल (24-48 घंटे): CVE-2026-21262 (SQL Server EoP) और सभी 8 गंभीर-रेटेड RCE — विशेष रूप से इंटरनेट-फेसिंग सिस्टम पर
  • अत्यावश्यक (7 दिन): CVE-2026-26127 (.NET DoS) और Active Directory वातावरण को प्रभावित करने वाली सभी विशेषाधिकार वृद्धि खामियाँ
  • मानक (14 दिन): शेष महत्वपूर्ण-रेटेड फ़िक्स, Edge/Chromium अपडेट
  • NIS2 अनुपालन: पैचिंग समयसीमा का दस्तावेजीकरण करें — पर्यवेक्षी प्राधिकरण सार्वजनिक रूप से प्रकट CVE के लिए प्रतिक्रिया गति का ऑडिट करेंगे

💀 मेडटेक दिग्गज Stryker पर ईरान-लिंक्ड वाइपर हमला — 200K+ डिवाइस का दावा

⚠️ गंभीर: स्वास्थ्य सेवा क्षेत्र पर विनाशकारी हमला

चिकित्सा प्रौद्योगिकी कंपनी Stryker को Handala, एक ईरान-लिंक्ड प्रो-फिलिस्तीनी हैक्टिविस्ट समूह, द्वारा वाइपर मालवेयर से निशाना बनाया गया है। समूह का दावा है कि 200,000 से अधिक डिवाइस मिटा दिए गए। यदि पुष्टि होती है, तो यह स्वास्थ्य सेवा क्षेत्र पर अब तक के सबसे विनाशकारी वाइपर हमलों में से एक है।

Stryker — एक Fortune 500 चिकित्सा प्रौद्योगिकी कंपनी जो सर्जिकल उपकरण, इम्प्लांट और अस्पताल बुनियादी ढाँचा बनाती है — को एक विनाशकारी वाइपर हमले से मारा गया है। ईरानी राज्य हितों से जुड़े Handala हैक्टिविस्ट समूह ने जिम्मेदारी ली है और दावा किया है कि Stryker के नेटवर्क में 200,000+ डिवाइस मिटा दिए गए।

इस हमले के रोगी सुरक्षा के लिए भारी प्रभाव हैं। Stryker के उत्पाद दुनिया भर के ऑपरेशन रूम, गहन देखभाल इकाइयों और सर्जिकल योजना प्रणालियों में एकीकृत हैं। उनके आंतरिक सिस्टम में व्यवधान से डिवाइस अपडेट में देरी, सप्लाई चेन में बाधा और उत्पाद सुरक्षा से समझौता हो सकता है।

NIS2 और स्वास्थ्य सेवा क्षेत्र पर प्रभाव

NIS2 के तहत, स्वास्थ्य सेवा को आवश्यक क्षेत्र के रूप में वर्गीकृत किया गया है। चिकित्सा उपकरण निर्माताओं और उनकी सप्लाई चेन को अनिवार्य साइबरसुरक्षा आवश्यकताओं का सामना करना पड़ता है। यह हमला ठीक इसी बात को दर्शाता है:

⚠️ स्वास्थ्य सेवा संगठन: अपने जोखिम का आकलन करें

यदि आपका संगठन Stryker उत्पादों का उपयोग करता है, तो तुरंत अपने Stryker खाता प्रतिनिधि से संपर्क करें ताकि उत्पाद अपडेट, सहायता सेवाओं और सप्लाई चेन निरंतरता पर प्रभाव को समझ सकें। इस आकलन को अपने NIS2 सप्लाई चेन जोखिम प्रबंधन दायित्वों के हिस्से के रूप में दस्तावेजित करें।


🔓 FortiGate डिवाइस से सर्विस अकाउंट क्रेडेंशियल चोरी

⚠️ गंभीर: फ़ायरवॉल उपकरण क्रेडेंशियल चोरी के लिए हथियार बनाए गए

SentinelOne ने एक अभियान की खोज की है जो नेटवर्क में सेंध लगाने और Active Directory और LDAP सर्विस अकाउंट क्रेडेंशियल वाली कॉन्फ़िगरेशन फ़ाइलें निकालने के लिए FortiGate NGFW उपकरणों का दुरुपयोग करता है। लक्ष्यों में स्वास्थ्य सेवा, सरकार और प्रबंधित सेवा प्रदाता शामिल हैं।

SentinelOne के सुरक्षा शोधकर्ताओं ने Fortinet FortiGate Next-Generation Firewalls को लक्षित करने वाले एक व्यवस्थित अभियान का खुलासा किया है। हमलावर इन डिवाइसों में कमजोरियों का शोषण करके कॉन्फ़िगरेशन फ़ाइलें निकाल रहे हैं, जिनमें AD/LDAP एकीकरण के लिए प्लेनटेक्स्ट या पुनर्प्राप्त करने योग्य सर्विस अकाउंट क्रेडेंशियल होते हैं।

विडंबना विनाशकारी है: जो डिवाइस नेटवर्क की सुरक्षा के लिए तैनात किए गए हैं, वही उन्हें समझौता करने के लिए उपयोग किए जा रहे हैं। एक बार जब हमलावर FortiGate कॉन्फ़िग से AD/LDAP क्रेडेंशियल प्राप्त कर लेते हैं, तो उन्हें पूरे Active Directory वातावरण तक विशेषाधिकार प्राप्त पहुँच मिल जाती है।

लक्षित क्षेत्र

🔍 तत्काल आवश्यक कार्रवाइयाँ

  • FortiGate कॉन्फ़िगरेशन का ऑडिट करें: अनधिकृत कॉन्फ़िग निर्यात या संशोधनों की जाँच करें
  • क्रेडेंशियल रोटेट करें: FortiGate कॉन्फ़िगरेशन में संदर्भित सभी AD/LDAP सर्विस अकाउंट तुरंत रोटेट करें
  • FortiOS पैच करें: सुनिश्चित करें कि सभी FortiGate डिवाइस नवीनतम फ़र्मवेयर चला रहे हैं — CVE-2024-47575 और CVE-2024-55591 के शोषण की जाँच करें
  • AD लॉग मॉनिटर करें: FortiGate से जुड़े सर्विस अकाउंट का उपयोग करके असामान्य प्रमाणीकरण पैटर्न देखें
  • DORA/NIS2: पुष्ट समझौतों की 24 घंटे के भीतर अपने राष्ट्रीय CSIRT को रिपोर्ट करें

🤖 AI ब्राउज़र सुरक्षा ध्वस्त — Perplexity का Comet 4 मिनट में फ़िशिंग में फंसा

⚠️ चेतावनी: AI ब्राउज़र नई हमले की सतह पेश करते हैं

Guardio शोधकर्ताओं ने प्रदर्शित किया कि Perplexity का Comet AI ब्राउज़र 4 मिनट से कम समय में फ़िशिंग हमला करने के लिए हेरफेर किया जा सकता है, "Agentic Blabbering" नामक कमजोरी का शोषण करते हुए।

Guardio Labs के सुरक्षा शोधकर्ताओं ने एक विनाशकारी प्रूफ-ऑफ-कॉन्सेप्ट प्रकाशित किया है जो दिखाता है कि Perplexity का Comet — एक AI-संचालित वेब ब्राउज़र — को फ़िशिंग घोटाले में फंसाया जा सकता है। यह हमला AI ब्राउज़र में एक मौलिक डिज़ाइन दोष का शोषण करता है: अपनी क्रियाओं का वर्णन करने की उनकी प्रवृत्ति, जो अनजाने में सुरक्षा बाधाओं को कम करती है।

"Agentic Blabbering" नामक तकनीक इसलिए काम करती है क्योंकि AI ब्राउज़र यह बताने के लिए डिज़ाइन किए गए हैं कि वे क्या कर रहे हैं। हमलावर इस संवादात्मक प्रकृति का शोषण करने वाले प्रॉम्प्ट तैयार करते हैं, AI को दुर्भावनापूर्ण निर्देशों को वैध ब्राउज़िंग कार्यों के रूप में मानने के लिए धोखा देते हैं। परिणाम: AI ब्राउज़र स्वयं फ़िशिंग वेक्टर बन जाता है।

यह एंटरप्राइज़ सुरक्षा के लिए क्यों महत्वपूर्ण है

🛡️ अनुशंसाएँ

  • अपने संगठन में AI ब्राउज़र उपयोग की सूची बनाएँ
  • AI ब्राउज़र को उचित प्रतिबंधों के साथ अपनी स्वीकार्य उपयोग नीति में जोड़ें
  • कर्मचारियों को AI-सहायित ब्राउज़िंग टूल के विशिष्ट जोखिमों पर प्रशिक्षित करें
  • वेब प्रॉक्सी लॉग में AI ब्राउज़र यूज़र एजेंट की निगरानी करें

🌐 KadNap मालवेयर ने विशाल प्रॉक्सी बॉटनेट के लिए 14,000+ Asus राउटर संक्रमित किए

⚠️ चेतावनी: 14,000+ एज डिवाइस समझौता — 60% अमेरिका में

Lumen के Black Lotus Labs ने Asus राउटर को लक्षित करने वाले KadNap मालवेयर अभियान की खोज की है, जो 14,000+ संक्रमित डिवाइस का प्रॉक्सी बॉटनेट बना रहा है। मालवेयर लचीले कमांड और कंट्रोल के लिए कस्टम Kademlia DHT प्रोटोकॉल का उपयोग करता है।

KadNap नामक एक नया मालवेयर स्ट्रेन Asus उपभोक्ता और छोटे व्यवसाय राउटर को लक्षित कर रहा है, जिसमें Lumen के Black Lotus Labs ने 14,000 से अधिक संक्रमित डिवाइस की पहचान की है — जिनमें से 60% संयुक्त राज्य अमेरिका में स्थित हैं। मालवेयर समझौता किए गए राउटर को प्रॉक्सी बॉटनेट में नोड्स में बदलता है, जिससे हमलावर वैध आवासीय और व्यावसायिक IP पतों के माध्यम से दुर्भावनापूर्ण ट्रैफ़िक रूट कर सकते हैं।

KadNap का कस्टम Kademlia Distributed Hash Table (DHT) प्रोटोकॉल का उपयोग इसे विशेष रूप से बाधित करना कठिन बनाता है। केंद्रीकृत कमांड और कंट्रोल वाले पारंपरिक बॉटनेट के विपरीत, KadNap की विकेंद्रीकृत वास्तुकला का मतलब है कि कोई एकल सर्वर डाउन करने के लिए नहीं है।

संगठनों पर प्रभाव

🔧 शमन कदम

  • Asus राउटर फ़र्मवेयर अपडेट की जाँच करें और तुरंत लागू करें
  • सभी एज डिवाइसों पर रिमोट प्रबंधन इंटरफ़ेस अक्षम करें
  • दूरस्थ कर्मचारियों को अपने राउटर रीबूट करने और अनधिकृत फ़र्मवेयर संशोधनों की जाँच करने की सलाह दें
  • असामान्य DHT प्रोटोकॉल गतिविधि के लिए नेटवर्क ट्रैफ़िक की निगरानी करें

📦 PhantomRaven: JavaScript डेवलपर्स को लक्षित करने वाले 88 दुर्भावनापूर्ण NPM पैकेज

⚠️ चेतावनी: NPM रजिस्ट्री पर सप्लाई चेन हमला

सप्लाई-चेन हमलों की एक नई लहर जिसे PhantomRaven कहा जाता है, ने npm रजिस्ट्री पर 88 दुर्भावनापूर्ण पैकेज स्थापित किए हैं, जो JavaScript डेवलपर्स की मशीनों और CI/CD वातावरण से डेटा बाहर भेजने के लिए डिज़ाइन किए गए हैं।

PhantomRaven अभियान npm इकोसिस्टम को लक्षित करने वाला एक परिष्कृत सॉफ़्टवेयर सप्लाई चेन हमला है। 88 पहचाने गए दुर्भावनापूर्ण पैकेज टाइपोस्क्वाटिंग और डिपेंडेंसी कन्फ्यूजन तकनीकों का उपयोग करते हैं ताकि डेवलपर्स को बैकडोर वाली लाइब्रेरी स्थापित करने के लिए धोखा दिया जा सके जो एनवायरनमेंट वेरिएबल, SSH कीज़ और API टोकन बाहर भेजती हैं।

वेब एप्लिकेशन और माइक्रोसर्विसेज बनाने वाले संगठनों के लिए, यह कोड अखंडता और CI/CD पाइपलाइन सुरक्षा के लिए एक सीधा खतरा है। एक समझौता किया गया डेवलपर वर्कस्टेशन दूषित प्रोडक्शन बिल्ड का कारण बन सकता है।

DORA और NIS2 सॉफ़्टवेयर सप्लाई चेन आवश्यकताएँ


⚡ CISA ने n8n RCE की आपातकालीन पैचिंग का आदेश दिया — सक्रिय रूप से शोषित

⚠️ गंभीर: ऑटोमेशन टूल में सक्रिय रूप से शोषित RCE

CISA ने n8n वर्कफ़्लो ऑटोमेशन प्लेटफ़ॉर्म में एक सक्रिय रूप से शोषित रिमोट कोड निष्पादन कमजोरी को अपने Known Exploited Vulnerabilities (KEV) कैटलॉग में जोड़ा है, संघीय एजेंसियों को तुरंत पैच करने का आदेश दिया है।

n8n ऑटोमेशन प्लेटफ़ॉर्म — जो वर्कफ़्लो ऑर्केस्ट्रेशन, API एकीकरण और डेटा पाइपलाइन प्रबंधन के लिए व्यापक रूप से उपयोग किया जाता है — में एक गंभीर RCE कमजोरी है जो वास्तविक दुनिया में सक्रिय रूप से शोषित की जा रही है। CISA द्वारा KEV कैटलॉग में शामिल करने का मतलब है कि यह सैद्धांतिक नहीं है — हमलावर अभी इस खामी का लाभ उठा रहे हैं।

n8n इंस्टेंस अक्सर आंतरिक सिस्टम तक व्यापक पहुँच के साथ तैनात किए जाते हैं, जिससे वे उच्च-मूल्य लक्ष्य बन जाते हैं। एक समझौता किया गया n8n इंस्टेंस हमलावरों को कनेक्टेड डेटाबेस, API, क्लाउड सेवाओं और आंतरिक एप्लिकेशन तक पहुँच दे सकता है।

🛡️ तत्काल कार्रवाइयाँ

  • अपने वातावरण में सभी n8n इंस्टेंस की पहचान करें (शैडो IT तैनातियों सहित)
  • तुरंत पैच करें या पैच होने तक ऑफ़लाइन करें
  • n8n वर्कफ़्लो का ऑडिट करें अनधिकृत संशोधनों के लिए
  • कनेक्टेड क्रेडेंशियल की समीक्षा करें: n8n के माध्यम से एक्सेस किए जा सकने वाले किसी भी API कीज़, डेटाबेस क्रेडेंशियल या सर्विस अकाउंट को रोटेट करें
  • NIS2: यदि शोषित हो, तो एक महत्वपूर्ण घटना के रूप में 24 घंटे के भीतर रिपोर्ट करें

🚔 Meta ने 150K धोखाधड़ी अकाउंट अक्षम किए — वैश्विक कार्रवाई में 21 गिरफ्तारियाँ

एक महत्वपूर्ण कानून प्रवर्तन अभियान में, Meta ने 150,000 से अधिक अकाउंट अक्षम किए हैं जो दक्षिण पूर्व एशियाई धोखाधड़ी केंद्रों से जुड़े हैं — मुख्य रूप से पिग-बुचरिंग और रोमांस धोखाधड़ी संचालन। रॉयल थाई पुलिस ने 11 देशों के अधिकारियों के सहयोग से समन्वित छापों में 21 व्यक्तियों को गिरफ्तार किया।

जबकि यह प्लेटफ़ॉर्म सुरक्षा के लिए एक सकारात्मक विकास है, विशाल पैमाना — 150,000 अकाउंट — रेखांकित करता है कि ये संचालन कितने गहराई से स्थापित हो गए हैं। संगठनों के लिए, मुख्य निष्कर्ष यह है कि बिजनेस ईमेल कॉम्प्रोमाइज (BEC) और सोशल इंजीनियरिंग हमले अक्सर उसी आपराधिक बुनियादी ढाँचे से उत्पन्न होते हैं।

एंटरप्राइज़ प्रासंगिकता


☁️ Wiz Google Cloud में शामिल — $32 बिलियन अधिग्रहण पूरा

Google ने आधिकारिक तौर पर Wiz का $32 बिलियन अधिग्रहण पूरा कर लिया है, जो क्लाउड सुरक्षा स्टार्टअप है और इतिहास की सबसे तेजी से बढ़ने वाली साइबरसुरक्षा कंपनियों में से एक बन गई है। Wiz Google Cloud के भीतर एक स्वतंत्र ब्रांड के रूप में काम करना जारी रखेगी, अपने मल्टी-क्लाउड सुरक्षा प्लेटफ़ॉर्म को बनाए रखते हुए जो AWS, Azure और GCP पर काम करता है।

यह सौदा क्लाउड सुरक्षा परिदृश्य को फिर से आकार देता है। Wiz के Cloud-Native Application Protection Platform (CNAPP) को Google Cloud में एकीकृत करने के साथ, संगठनों को अब वेंडर लॉक-इन और मल्टी-क्लाउड सुरक्षा के बारे में रणनीतिक निर्णय लेने होंगे।

सुरक्षा टीमों के लिए इसका क्या मतलब है

विचारणीय बिंदु प्रभाव
मल्टी-क्लाउड तटस्थताWiz मल्टी-क्लाउड बने रहने का वादा करती है, लेकिन Google स्वामित्व AWS/Azure फीचर समानता के बारे में दीर्घकालिक चिंताएँ पैदा करता है
मूल्य निर्धारणGoogle की गहरी जेबें शुरू में प्रतिस्पर्धी मूल्य निर्धारण को बढ़ावा दे सकती हैं, लेकिन समेकन अक्सर मूल्य वृद्धि की ओर ले जाता है
डेटा संप्रभुताGDPR/NIS2-विनियमित संस्थाओं को डेटा प्रोसेसिंग समझौतों की समीक्षा करनी चाहिए क्योंकि Wiz Google Cloud बुनियादी ढाँचे के साथ एकीकृत होती है
विकल्प मूल्यांकनअब एकल-वेंडर निर्भरता से बचने के लिए विकल्पों (Orca, Lacework, Prisma Cloud) का मूल्यांकन करने का समय है

🎅 BlackSanta EDR किलर — रूसी खतरा अभिनेता HR विभागों को लक्षित कर रहा है

⚠️ गंभीर: HR कर्मचारियों को लक्षित EDR/AV बाईपास मालवेयर

एक रूसी-भाषी खतरा अभिनेता HR विभागों को मालवेयर से निशाना बना रहा है जो BlackSanta डिलीवर करता है — एक EDR किलर जो अपना अंतिम पेलोड तैनात करने से पहले कर्नेल स्तर पर एंटीवायरस और एंडपॉइंट डिटेक्शन को अक्षम करने में सक्षम है।

BlackSanta अभियान विशेष रूप से कपटी है क्योंकि यह HR विभागों को लक्षित करता है — ऐसी टीमें जो नियमित रूप से अज्ञात प्रेषकों से अटैचमेंट खोलती हैं (रिज़्यूमे, कवर लेटर, इनवॉइस)। हमले की श्रृंखला एक EDR किलर डिलीवर करती है जो कर्नेल स्तर पर काम करता है, प्राथमिक पेलोड (संभवतः रैंसमवेयर या इन्फोस्टीलर) विस्फोट होने से पहले सुरक्षा टूल को अक्षम कर देता है।

यह तकनीक — Bring Your Own Vulnerable Driver (BYOVD) — सुरक्षा उत्पादों को अक्षम करने के लिए वैध हस्ताक्षरित कर्नेल ड्राइवरों का दुरुपयोग करती है। एक बार EDR को निष्प्रभावी कर दिया जाता है, तो हमलावर को सिस्टम पर पूर्ण स्वतंत्रता मिल जाती है।

HR सही लक्ष्य क्यों है

🛡️ रक्षा अनुशंसाएँ

  • HR वर्कस्टेशन अलग करें: रिज़्यूमे/अटैचमेंट प्रोसेसिंग सैंडबॉक्स वातावरण या वर्चुअल मशीनों में चलाएँ
  • BYOVD सुरक्षा: कमजोर ड्राइवर ब्लॉकलिस्ट सक्षम करें (Microsoft की अनुशंसित ड्राइवर ब्लॉक नियम)
  • EDR टैम्पर प्रोटेक्शन: सुनिश्चित करें कि आपके EDR समाधान में कर्नेल-स्तर टैम्पर प्रोटेक्शन सक्षम है
  • व्यवहार पहचान: गैर-मानक पथों से कर्नेल ड्राइवर लोडिंग इवेंट की निगरानी करें
  • NIS2 जागरूकता प्रशिक्षण: HR विभागों के लिए विशेष रूप से लक्षित सुरक्षा प्रशिक्षण प्रदान करें