漏洞概述

群暉科技(Synology)的Active Backup for Microsoft 365（ABM）軟件存在安全漏洞，導(dǎo)致無(wú)數(shù)企業(yè)的云數(shù)據(jù)面臨未授權(quán)訪問(wèn)風(fēng)險(xiǎn)。該漏洞編號(hào)為CVE-2025-4679，攻擊者利用泄露的應(yīng)用程序憑證即可滲透任何安裝了ABM的微軟租戶——無(wú)需事先獲取訪問(wèn)權(quán)限。

根據(jù)modzero發(fā)布的詳細(xì)技術(shù)報(bào)告，該漏洞是在紅隊(duì)演練期間發(fā)現(xiàn)的，研究人員迅速將其定性為"大量企業(yè)微軟租戶的后門"。

技術(shù)原理

群暉ABM軟件通過(guò)與微軟Entra ID的OAuth集成，實(shí)現(xiàn)Teams、OneDrive和Exchange等微軟365服務(wù)的自動(dòng)備份。其設(shè)置過(guò)程中涉及一個(gè)中間件服務(wù)(synooauth.synology.com)，該服務(wù)竟在重定向URL中泄露了靜態(tài)client_secret（客戶端密鑰）。

報(bào)告指出："響應(yīng)報(bào)文的Location頭部包含多個(gè)參數(shù)，其中就包含client_secret的值。"該密鑰屬于群暉的全局應(yīng)用注冊(cè)，而非特定租戶——意味著所有安裝ABM的租戶均可通用。造成的后果極為嚴(yán)重：

無(wú)需通過(guò)群暉或微軟的任何認(rèn)證

攻擊者可利用該憑證獲取Teams消息、群組成員、Outlook內(nèi)容和日歷的只讀權(quán)限

研究人員演示了攻擊者如何僅憑公開(kāi)的client_id和client_secret，就能使用泄露的憑證請(qǐng)求微軟Graph API訪問(wèn)令牌。這實(shí)際上為所有啟用ABM的組織創(chuàng)建了一個(gè)通用的云訪問(wèn)密鑰，可能被用于：

• 企業(yè)環(huán)境間諜活動(dòng)
• 勒索軟件攻擊前的偵察
• 地下數(shù)據(jù)交易

漏洞處置

modzero于2025年4月4日向群暉報(bào)告該問(wèn)題，群暉確認(rèn)后分配了CVE編號(hào)，但雙方對(duì)漏洞嚴(yán)重性評(píng)估存在顯著分歧——群暉給出的CVSS評(píng)分為6.5，遠(yuǎn)低于研究人員建議的8.6分。

群暉的公告僅含糊描述為："群暉Active Backup for Microsoft 365存在漏洞，允許經(jīng)過(guò)認(rèn)證的遠(yuǎn)程攻擊者通過(guò)未指定途徑獲取敏感信息。"值得注意的是，公告中未包含客戶警報(bào)或入侵指標(biāo)(IoC)。

modzero提供了以下取證細(xì)節(jié)：

• ABM客戶端ID：b4f234da-3a1a-4f4d-a058-23ed08928904
• 可疑IP：220.130.175.235及ASNAS3462
• 計(jì)劃備份時(shí)段外異常的Graph API調(diào)用記錄
• 來(lái)自其他微軟租戶的應(yīng)用權(quán)限異常服務(wù)主體