漏洞概述

群暉科技(Synology)的Active Backup for Microsoft 365（ABM）軟件存在安全漏洞，導致無數企業的云數據面臨未授權訪問風險。該漏洞編號為CVE-2025-4679，攻擊者利用泄露的應用程序憑證即可滲透任何安裝了ABM的微軟租戶——無需事先獲取訪問權限。

根據modzero發布的詳細技術報告，該漏洞是在紅隊演練期間發現的，研究人員迅速將其定性為"大量企業微軟租戶的后門"。

技術原理

群暉ABM軟件通過與微軟Entra ID的OAuth集成，實現Teams、OneDrive和Exchange等微軟365服務的自動備份。其設置過程中涉及一個中間件服務(synooauth.synology.com)，該服務竟在重定向URL中泄露了靜態client_secret（客戶端密鑰）。

報告指出："響應報文的Location頭部包含多個參數，其中就包含client_secret的值。"該密鑰屬于群暉的全局應用注冊，而非特定租戶——意味著所有安裝ABM的租戶均可通用。造成的后果極為嚴重：

無需通過群暉或微軟的任何認證

攻擊者可利用該憑證獲取Teams消息、群組成員、Outlook內容和日歷的只讀權限

研究人員演示了攻擊者如何僅憑公開的client_id和client_secret，就能使用泄露的憑證請求微軟Graph API訪問令牌。這實際上為所有啟用ABM的組織創建了一個通用的云訪問密鑰，可能被用于：

• 企業環境間諜活動
• 勒索軟件攻擊前的偵察
• 地下數據交易

漏洞處置

modzero于2025年4月4日向群暉報告該問題，群暉確認后分配了CVE編號，但雙方對漏洞嚴重性評估存在顯著分歧——群暉給出的CVSS評分為6.5，遠低于研究人員建議的8.6分。

群暉的公告僅含糊描述為："群暉Active Backup for Microsoft 365存在漏洞，允許經過認證的遠程攻擊者通過未指定途徑獲取敏感信息。"值得注意的是，公告中未包含客戶警報或入侵指標(IoC)。

modzero提供了以下取證細節：

• ABM客戶端ID：b4f234da-3a1a-4f4d-a058-23ed08928904
• 可疑IP：220.130.175.235及ASNAS3462
• 計劃備份時段外異常的Graph API調用記錄
• 來自其他微軟租戶的應用權限異常服務主體