← ब्लॉग पर वापस जाएं
Security Briefing4 मिनट पढ़ें2026-04-15

सिक्योरिटी ब्रीफिंग, 15 अप्रैल 2026: पैच ट्यूसडे, दुर्भावनापूर्ण Chrome एक्सटेंशन और एक्सेस ड्रिफ्ट

आज की सिक्योरिटी ब्रीफिंग तीन ठोस कहानियों पर केंद्रित है: Microsoft का अप्रैल Patch Tuesday, 100 से अधिक दुर्भावनापूर्ण Chrome एक्सटेंशनों का अभियान, और Kraken तथा McGraw-Hill में एक्सेस गवर्नेंस की विफलताएँ।


Top line: आज सुबह का सबसे मजबूत संकेत कोई एक रैनसमवेयर नाम नहीं है। असली संकेत वही कंट्रोल गैप है जो कई घटनाओं में बार-बार दिख रहा है: आपातकालीन पैचिंग, ब्राउज़र-सेशन चोरी, और ऐसा एक्सेस जो जरूरत खत्म होने के बाद भी बना रहता है.


1. Microsoft का Patch Tuesday बड़ा है, और एक SharePoint zero-day पहले से exploit हो रहा था

Microsoft ने अप्रैल 2026 में 167 कमजोरियों के लिए फिक्स जारी किए, जिनमें दो zero-day शामिल थे। इनमें से एक SharePoint Server spoofing vulnerability पहले से हमलों में exploit हो रही थी। Microsoft ने Office की critical remote-code-execution कमजोरियों और Defender privilege-escalation issue के लिए भी fixes दिए।


2. 100 से अधिक Chrome extensions ने browser को identity-theft surface बना दिया

Socket के शोधकर्ताओं ने Chrome Web Store की 100 से अधिक malicious extensions को एक coordinated campaign से जोड़ा। इन extensions ने कथित तौर पर Google OAuth2 bearer tokens चुराए, account data इकट्ठा किया, Telegram Web sessions hijack किए, और background में remote commands fetch किए। यह सिर्फ add-on risk नहीं है। यह पहले से authenticated environment के अंदर identity, session और trust का abuse है।


3. Kraken और McGraw-Hill दिखाते हैं कि insider और third-party access अब भी clean narratives तोड़ते हैं

Kraken ने कहा कि एक extortion group internal systems के वीडियो जारी करने की धमकी दे रहा है, क्योंकि support employees की improper access से लगभग 2,000 accounts से जुड़ा सीमित customer-support data expose हुआ। McGraw-Hill ने अलग से कहा कि attackers ने Salesforce-hosted webpage misconfiguration के जरिए सीमित internal data तक पहुँच बनाई, जबकि ShinyHunters ने कहीं बड़ा data haul claim किया। Exact blast radius अलग है, लेकिन pattern एक ही है: support workflows और hosted business systems अक्सर teams की सोच से ज्यादा trust बनाए रखते हैं।


सिक्योरिटी टीमों को आज क्या करना चाहिए

  1. Exploited और externally reachable Microsoft assets को पहले prioritize करें।
  2. High-risk users के लिए extension sweep और session revocation plan चलाएँ।
  3. Support, supplier और SaaS admin access का audit owners और expiry dates के साथ करें।
  4. एक ही executive update में patches, browser identity abuse और third-party access को जोड़कर दिखाएँ।

Bottom line: आज की सभी खबरें एक ही operational truth की ओर इशारा करती हैं। Attackers उस gap में जीत रहे हैं जो nominal control और verified control के बीच है, “patched” और वास्तव में fixed के बीच है, “logged in” और वास्तव में trusted के बीच है, और “temporary access” तथा lingering privilege के बीच है।

इस gap को बंद करें, इससे पहले कि यह कल की incident report बन जाए

KENSAI टीमों को exposed trust paths, patch coverage और internet-facing security reality को verify करने में मदद करता है, इससे पहले कि drift attackers के लिए leverage बन जाए।

फ्री स्कैन शुरू करें →

सतर्क रहें।

🗡️ KENSAI Security Team