今天的安全简报聚焦三条具体新闻:微软四月 Patch Tuesday、100 多个恶意 Chrome 扩展组成的活动,以及 Kraken 与 McGraw-Hill 的访问治理失误。
Top line: 今天早上最强的信号不是某一个勒索软件品牌,而是同一种控制缺口在多起事件中反复出现:紧急补丁、浏览器会话窃取,以及本该结束却继续存在的访问权限。
微软在 2026 年 4 月发布了 167 个漏洞修复,其中包括两个零日漏洞。其中一个是 SharePoint Server 欺骗漏洞,已经在真实攻击中被利用。微软还修复了多个 Office 严重远程代码执行漏洞,以及一个通过反恶意软件平台更新的 Defender 提权问题。
Socket 研究人员将 Chrome Web Store 中 100 多个恶意扩展关联到同一场协同攻击活动。这些扩展据称会窃取 Google OAuth2 bearer token、收集账户数据、劫持 Telegram Web 会话,并在后台拉取远程命令。这不是普通插件风险,而是在已经认证的环境内对身份、会话和信任的滥用。
Kraken 表示,一个勒索团伙正威胁公开其内部系统视频,此前客服员工的不当访问暴露了约 2,000 个账户的有限客服数据。McGraw-Hill 则表示,攻击者通过一个托管在 Salesforce 上的网页配置错误访问了有限的内部数据,而 ShinyHunters 声称拿到了更大的数据量。具体影响范围不同,但模式相同:支持流程和托管业务系统往往保留了比团队想象中更多的信任。
Bottom line: 今天的所有故事都指向同一个运营真相。攻击者正在利用名义控制与已验证控制之间的差距,利用“已打补丁”和“真正修好”之间的差距,利用“已登录”和“真正可信”之间的差距,也利用“临时访问”和残留权限之间的差距。
保持锋利。
🗡️ KENSAI Security Team