Windows Server Emergency Patches Fix WSUS Bug With PoC Exploit
Microsoft je izdao izvanredna (OOB) sigurnosna ažuriranja kako bi zakrpao kritičnu ranjivost u Windows Server Update Service (WSUS) sustavu, za koju postoji javno dostupni proof-of-concept (PoC) exploit. WSUS omogućuje IT administratorima upravljanje i isporuku Windows ažuriranja unutar mreže. Ranjivost, označena kao CVE-2025-59287, zakrpana je tijekom ovogodišnjeg Patch Tuesday ciklusa i odnosi se samo na poslužitelje s aktiviranom WSUS Server Role funkcijom, koja nije uključena prema zadanim postavkama. Napadači mogu ranjivost iskoristiti daljinski, bez korisničke interakcije, te izvršavati zlonamjerni kod s administratorskim (SYSTEM) privilegijama, što omogućuje potencijalno širenje između WSUS poslužitelja.
Izvor: BleepingComputer

Zero Trust Has a Blind Spot—Your AI Agents
Agentni AI je stigao. Od prilagođenih GPT modela do autonomnih kopilota, AI agenti sada djeluju u ime korisnika i organizacija, pa čak i kao „članovi tima“ koji donose odluke, pristupaju sustavima i komuniciraju s drugim agentima bez izravne ljudske intervencije. No s tom razinom autonomije dolazi i ključno sigurnosno pitanje: ako AI obavlja posao, kada mu možemo vjerovati? U tradicionalnim sustavima, Zero Trust pristup pretpostavlja da ne postoji implicitno povjerenje — svaki korisnik, uređaj i usluga moraju stalno dokazivati svoj identitet i ovlasti. U svijetu agentnog AI-a ti se principi brzo ruše, jer agenti često djeluju s naslijeđenim vjerodajnicama bez jasnog vlasništva ili upravljanja identitetom, što otvara prostor za zloupotrebu i sigurnosne rizike u infrastrukturi.
Izvor: BleepingComputer

3,000 YouTube Videos Exposed as Malware Traps in Massive Ghost Network Operation
Zlonamjerna mreža YouTube računa objavljivala je i promovirala videozapise koji vode do preuzimanja zlonamjernog softvera, iskorištavajući povjerenje korisnika u platformu za širenje malvera. Aktivna od 2021., mreža je objavila više od 3.000 zlonamjernih videozapisa, a njihov broj se utrostručio od početka godine. Istraživači iz Check Pointa nazvali su kampanju „YouTube Ghost Network“. Google je u međuvremenu uklonio većinu tih videozapisa. Kampanja koristi hakirane račune, zamjenjujući sadržaj videozapisima koji promoviraju piratski softver i varalice za igru Roblox, čime infekcijom „stealer“ malverom pogađaju korisnike koji ih traže. Neki videozapisi dosegnuli su stotine tisuća pregleda, od 147.000 do 293.000.
Izvor: TheHackerNews

Toys ‘R’ Us Canada Customer Information Leaked Online
Tvrtka Toys “R” Us Canada obavijestila je korisnike da su njihovi osobni podaci ukradeni i objavljeni na dark webu. Incident je otkriven 30. srpnja, nakon što su se podaci pojavili na „neindeksiranom internetu“. U obavijesti korisnicima navodi se da je angažiran vanjski tim za kibernetičku sigurnost radi istrage i ograničavanja incidenta. Utvrđeno je da je neovlaštena treća strana preuzela određene zapise iz korisničke baze podataka koji sadrže osobne podatke poput imena, adresa, e-mailova i telefonskih brojeva. Tvrtka je također obavijestila nadležna tijela o incidentu.
Izvor: SecurityWeek

Pwn2Own WhatsApp Hacker Says Exploit Privately Disclosed to Meta
Na hakerskom natjecanju Pwn2Own Ireland 2025, koje organizira Trend Micro Zero Day Initiative (ZDI), isplaćeno je ukupno 1.024.750 dolara nagrada. Međutim, događaj je obilježilo povlačenje istraživača koji je trebao demonstrirati WhatsApp exploit vrijedan milijun dolara. Najveća pojedinačna nagrada od 100.000 dolara dodijeljena je za lanac exploita koji cilja QNAP Qhora-322 router i QNAP TS-453E NAS uređaj. Eksploiti na Samsung Galaxy S25 uređajima, kao i ranjivosti u Synology, Sonos, Ubiquiti i Canon sustavima, nagrađeni su iznosima između 40.000 i 50.000 dolara. Ukupno su demonstrirane ranjivosti u brojnim pametnim uređajima i mrežnim sustavima.
Izvor: SecurityWeek