O Syhunt Hybrid 7.1.6.5 já detecta o backdoor do ToolShell no SharePoint

A Syhunt lançou hoje o Syhunt Hybrid 7.1.6.5, uma atualização que adiciona a detecção automatizada do backdoor "ToolShell" recentemente divulgado (CVE-2025-53770 / CVE-2025-53771) que afeta servidores Microsoft SharePoint locais. A melhoria já está disponível para todos os clientes do Syhunt Hybrid por meio do atualizador padrão.

Por que isso importa

Exploração ativa: O ToolShell foi transformado em uma arma desde 18 de julho de 2025, oferecendo aos invasores execução remota de código não autenticada e acesso total ao conteúdo do SharePoint. Organizações em todo o mundo estão correndo para corrigir servidores vulneráveis após correções emergenciais da Microsoft e alertas da CISA emitidos na noite de ontem [1]. Mesmo após a aplicação dos patches, as equipes de segurança precisam verificar se nenhum artefato malicioso do ToolShell foi deixado no código. A atualização do Syhunt inclui verificações baseadas no código-fonte do exploit, ao qual a Syhunt teve acesso, e também detalhes fornecidos por equipes de resposta a incidentes que documentaram os comprometimentos em tempo real.

Ações recomendadas para os defensores

1. Aplique os patches da Microsoft a todos os servidores SharePoint locais. De acordo com as diretrizes da própria Microsoft, as correções de emergência para o novo "ToolShell" SharePoint Zero Day (CVE-2025-53770 / CVE-2025-53771) são:
   1. KB5002754 para o SharePoint Server 2019.
   2. KB5002768 para o SharePoint Server Subscription Edition.
   3. Um patch para o SharePoint Server 2016 ainda está pendente no momento da redação deste texto.
2. Atualize o Syhunt Hybrid para a versão 7.1.6.5.
3. Execute uma varredura dinâmica do Syhunt no servidor para confirmar se algum backdoor do ToolShell foi criado por invasores. Use o método de busca Varredura de Aplicação (Padrão) (Application Scan Default).
4. Execute uma varredura de código do Syhunt em: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\ e remova os backdoors detectados (se houver). Use o método de busca Varredura de Código de Aplicação (Padrão) (Application Code Scan Default).
5. Gire as chaves da máquina ASP.NET do SharePoint Server (explicado aqui).

Novidades no Syhunt Hybrid 7.1.6.5

• DAST: Nova verificação de backdoor “SharePoint ToolShell” sinaliza implantes ativos durante testes na camada web.
• SAST: Bibliotecas de padrões reconhecem o backdoor do ToolShell em qualquer repositório de código-fonte, incluindo o diretório de extensões do servidor Web.