आज की सिक्योरिटी ब्रीफिंग तीन ठोस कहानियों पर केंद्रित है: Microsoft का अप्रैल Patch Tuesday, 100 से अधिक दुर्भावनापूर्ण Chrome एक्सटेंशनों का अभियान, और Kraken तथा McGraw-Hill में एक्सेस गवर्नेंस की विफलताएँ।
Top line: आज सुबह का सबसे मजबूत संकेत कोई एक रैनसमवेयर नाम नहीं है। असली संकेत वही कंट्रोल गैप है जो कई घटनाओं में बार-बार दिख रहा है: आपातकालीन पैचिंग, ब्राउज़र-सेशन चोरी, और ऐसा एक्सेस जो जरूरत खत्म होने के बाद भी बना रहता है.
Microsoft ने अप्रैल 2026 में 167 कमजोरियों के लिए फिक्स जारी किए, जिनमें दो zero-day शामिल थे। इनमें से एक SharePoint Server spoofing vulnerability पहले से हमलों में exploit हो रही थी। Microsoft ने Office की critical remote-code-execution कमजोरियों और Defender privilege-escalation issue के लिए भी fixes दिए।
Socket के शोधकर्ताओं ने Chrome Web Store की 100 से अधिक malicious extensions को एक coordinated campaign से जोड़ा। इन extensions ने कथित तौर पर Google OAuth2 bearer tokens चुराए, account data इकट्ठा किया, Telegram Web sessions hijack किए, और background में remote commands fetch किए। यह सिर्फ add-on risk नहीं है। यह पहले से authenticated environment के अंदर identity, session और trust का abuse है।
Kraken ने कहा कि एक extortion group internal systems के वीडियो जारी करने की धमकी दे रहा है, क्योंकि support employees की improper access से लगभग 2,000 accounts से जुड़ा सीमित customer-support data expose हुआ। McGraw-Hill ने अलग से कहा कि attackers ने Salesforce-hosted webpage misconfiguration के जरिए सीमित internal data तक पहुँच बनाई, जबकि ShinyHunters ने कहीं बड़ा data haul claim किया। Exact blast radius अलग है, लेकिन pattern एक ही है: support workflows और hosted business systems अक्सर teams की सोच से ज्यादा trust बनाए रखते हैं।
Bottom line: आज की सभी खबरें एक ही operational truth की ओर इशारा करती हैं। Attackers उस gap में जीत रहे हैं जो nominal control और verified control के बीच है, “patched” और वास्तव में fixed के बीच है, “logged in” और वास्तव में trusted के बीच है, और “temporary access” तथा lingering privilege के बीच है।
KENSAI टीमों को exposed trust paths, patch coverage और internet-facing security reality को verify करने में मदद करता है, इससे पहले कि drift attackers के लिए leverage बन जाए।
फ्री स्कैन शुरू करें →सतर्क रहें।
🗡️ KENSAI Security Team