Google lanzó el jueves actualizaciones de seguridad para su navegador web Chrome para abordar dos vulnerabilidades de alta gravedad que, según dijo, han sido explotadas en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-3909 (Puntuación CVSS: 8,8): una vulnerabilidad de escritura fuera de límites en la biblioteca de gráficos Skia 2D que permite a un atacante remoto realizar acceso a memoria fuera de límites a través de una página HTML diseñada.
• CVE-2026-3910 (Puntuación CVSS: 8,8): una vulnerabilidad de implementación inapropiada en el motor V8 JavaScript y WebAssembly que permite a un atacante remoto ejecutar código arbitrario dentro de un entorno limitado a través de una página HTML diseñada.

Ambas vulnerabilidades fueron descubiertas y reportadas por el propio Google el 10 de marzo de 2026. Como es habitual en estos casos, no hay detalles disponibles sobre cómo se está abusando de los problemas en la naturaleza y quién está detrás de los esfuerzos. Esto se hace para evitar que otros actores de amenazas exploten los problemas.

«Google es consciente de que existen exploits tanto para CVE-2026-3909 como para CVE-2026-3910», dijo la empresa. anotado.

El desarrollo se produce menos de un mes después de que Google enviara correcciones para un error de uso después de la liberación de alta gravedad en el componente CSS de Chrome (CVE-2026-2441, puntuación CVSS: 8.8) que también había sido explotado como un día cero. Google ha parcheado un total de tres días cero de Chrome activamente armados desde principios de año.

Para una protección óptima, se recomienda a los usuarios actualizar su navegador Chrome a las versiones 146.0.7680.75/76 para Windows y Apple macOS, y 146.0.7680.75 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.

También se recomienda a los usuarios de otros navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Microsoft abordó 83 vulnerabilidades que abarcan su amplia cartera de software empresarial y servicios subyacentes en su última actualización de seguridad. El lanzamiento del martes de parches de la compañía no contenía vulnerabilidades de día cero explotadas activamente y seis defectos que describió como más propensos a ser explotados.

El lote de parches del proveedor marca la primera actualización mensual sin un día cero explotado activamente en seis meses.

La «falta de errores bajo ataque activo es un cambio agradable con respecto al mes pasado», cuando Microsoft informó seis vulnerabilidades explotadas activamente, dijo Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Dos vulnerabilidades abordadas este mes: CVE-2026-21262 y CVE-2026-26127 – figuraban como de conocimiento público en el momento de su publicación. “Estos insectos ladran más que muerden”, dijo Satnam Narang, ingeniero de investigación senior de Tenable.

Más de la mitad de los defectos de la actualización de este mes pueden provocar privilegios elevados, y seis de esas vulnerabilidades… CVE-2026-23668, CVE-2026-24289, CVE-2026-24291, CVE-2026-24294, CVE-2026-25187 y CVE-2026-26132 – fueron calificados como más propensos a ser explotados, añadió Narang.

Un defecto de divulgación de información en Microsoft Excel: CVE-2026-26144 — muestra un escenario de ataque que probablemente ocurra con más frecuencia, según Childs. «Un atacante podría usarlo para hacer que el agente Copilot extraiga datos del objetivo», esencialmente convirtiéndolo en una operación sin clic, escribió.

Los investigadores también se centraron en un par de defectos en Microsoft Office con calificaciones CVSS de 8,4: CVE-2026-26110 y CVE-2026-26113 – que los atacantes pueden activar para ejecutar código arbitrario. El plano de vista previa de Microsoft Office puede servir como vector de ataque para ambas vulnerabilidades.

«Las vulnerabilidades de ejecución remota de código en las aplicaciones de Office plantean riesgos importantes para las organizaciones, ya que los documentos se comparten ampliamente por correo electrónico, archivos compartidos y plataformas de colaboración», dijo en un correo electrónico Mike Walters, presidente y cofundador de Action1.

«Si son explotados, los atacantes podrían hacerse con el control de los sistemas de los usuarios, implementar ransomware, robar datos corporativos o moverse lateralmente a través de redes internas», añadió. «Incluso un solo documento malicioso podría comprometer un punto final y dar a los atacantes un punto de apoyo dentro de la organización».

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.

Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña en la que los actores de amenazas están abusando de los dispositivos FortiGate Next-Generation Firewall (NGFW) como puntos de entrada para violar las redes de las víctimas.

La actividad implica la explotación de vulnerabilidades de seguridad recientemente reveladas o credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio e información de topología de red, dijo SentinelOne en un informe publicado hoy. El equipo de seguridad dijo que la campaña ha señalado entornos vinculados a la atención médica, el gobierno y los proveedores de servicios administrados.

«Los dispositivos de red FortiGate tienen un acceso considerable a los entornos para los que fueron instalados», afirman los investigadores de seguridad Alex Delamotte, Stephen Bromfield, Mary Braden Murphy y Amey Patne. dicho. «En muchas configuraciones, esto incluye cuentas de servicio que están conectadas a la infraestructura de autenticación, como Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP)».

«Esta configuración puede permitir que el dispositivo asigne roles a usuarios específicos al obtener atributos sobre la conexión que se está analizando y correlacionando con la información del Directorio, lo cual es útil en casos donde se establecen políticas basadas en roles o para aumentar la velocidad de respuesta para alertas de seguridad de red detectadas por el dispositivo».

Sin embargo, la empresa de ciberseguridad señaló que dicho acceso podría ser aprovechado por atacantes que irrumpan en dispositivos FortiGate a través de vulnerabilidades conocidas (por ejemplo, CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858) o configuraciones incorrectas.

En un incidente, se dice que los atacantes violaron un dispositivo FortiGate en noviembre de 2025 para crear una nueva cuenta de administrador local llamada «soporte» y la usaron para configurar cuatro nuevas políticas de firewall que permitieron a la cuenta atravesar todas las zonas sin ninguna restricción.

Luego, el actor de la amenaza siguió comprobando periódicamente para asegurarse de que el dispositivo fuera accesible, una acción consistente con un corredor de acceso inicial (IAB) que establecía un punto de apoyo y lo vendía a otros actores criminales para obtener ganancias monetarias. La siguiente fase de la actividad se detectó en febrero de 2026, cuando un atacante probablemente extrajo el archivo de configuración que contenía las credenciales LDAP cifradas de la cuenta de servicio.

«La evidencia demuestra que el atacante se autenticó en AD usando credenciales de texto claro de la cuenta de servicio fortidcagent, lo que sugiere que el atacante descifró el archivo de configuración y extrajo las credenciales de la cuenta de servicio», dijo SentinelOne.

Luego, el atacante aprovechó la cuenta de servicio para autenticarse en el entorno de la víctima e inscribir estaciones de trabajo no autorizadas en el AD, permitiéndoles un acceso más profundo. Después de este paso, se inició el escaneo de la red, momento en el que se detectó la infracción y se detuvo el movimiento lateral adicional.

En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a implementar herramientas de acceso remoto como Pulseway y MeshAgent. Además, el actor de amenazas descargó malware de un depósito de almacenamiento en la nube a través de PowerShell desde la infraestructura de Amazon Web Services (AWS).

El malware Java, lanzado mediante carga lateral de DLL, se utilizó para filtrar el contenido del archivo NTDS.dit y la sección de registro del SISTEMA a un servidor externo («172.67.196[.]232») sobre el puerto 443.

«Si bien es posible que el actor haya intentado descifrar contraseñas a partir de los datos, no se identificó dicho uso de credenciales entre el momento de la recolección de credenciales y la contención del incidente», agregó SentinelOne.

«Los dispositivos NGFW se han vuelto omnipresentes porque brindan sólidas capacidades de monitoreo de red para las organizaciones al integrar controles de seguridad de un firewall con otras características de administración, como AD», agregó. «Sin embargo, estos dispositivos son objetivos de alto valor para actores con una variedad de motivaciones y niveles de habilidad, desde actores alineados con el estado que realizan espionaje hasta ataques con motivación financiera como el ransomware».