在一个数字化飞速发展的时代，网络安全的威胁不断上升，尤其是云服务的安全性尤为重要。最近，Synology Active Backup for Microsoft 365（ABM）软件中发现的安全漏洞，让这一问题浮出了水面，数以千计的组织的云数据面临未授权访问的风险。这一漏洞被追踪为 CVE-2025-4679，被称为“后门”，使得攻击者无需在目标环境中获得任何访问权限，即可侵入安装了 ABM 的 Microsoft 租户。

经过深入的技术报告，获得了该漏洞的详细信息。这一缺陷是在一次红队演习中发现的，迅速演变成攻击者可以利用的关键通道。Synology 的 ABM 软件旨在自动备份 Microsoft 365 服务（如 Teams、OneDrive 和 Exchange），通过与 Microsoft Entra ID 的 OAuth 集成来实现自动化。然而，在设置过程中，一个中间件服务（synooauth.synology.com）意外泄露了静态的 client_secret，在重定向网址中暴露了这一安全密钥。

报告指出，响应中包含了多个参数，其中一个就是 client_secret 的值。更糟糕的是，这个密钥属于 Synology 的全球应用注册，而不是特定租户的密钥，意味着它可以在所有安装了 ABM 的租户中通用。因此，造成的后果是显而易见的：攻击者无需进行任何 Synology 或 Microsoft 的身份验证，便能获得 Teams 消息、组成员身份、Outlook 内容及日历的只读访问权限。这一漏洞允许广泛的只读访问，最终可能造成对 Microsoft Teams 所有频道消息、组、日历和 Outlook 对话的广泛访问。

研究人员演示了攻击者如何利用这一泄露的凭证，仅凭公开的 client_id 和 client_secret 请求 Microsoft Graph API 访问令牌的过程。“我们发送了以下 HTTP 请求以获取我们租户的 ABM 服务主体的 OAuth 端点访问令牌……我们惊讶地发现它成功了。”这有效地为任何 ABM 启用的组织创建了一个通用的云访问密钥，攻击者可以利用这一密钥进行如下活动：企业环境中的间谍活动、勒索软件的前期侦察、地下数据的交易。

考虑到该漏洞无需在目标环境中建立立足点，攻击者可以在全球范围内进行操作，这一安全漏洞的潜在影响不可小觑。modzero 于 2025 年 4 月 4 日向 Synology 报告了这一问题，并且 Synology 确认了该问题，分配了 CVE-2025-4679。但是，双方对于漏洞的严重程度存在显著分歧。“Synology 决定了 CVE 的详细信息，并表示他们给出的 CVSS 分数为 6.5……远低于我们提议的 8.6。” Synology 的公告模糊不清，对问题的描述为：“Synology Active Backup for Microsoft 365 中的漏洞允许远程经过身份验证的攻击者通过未指定向量获取敏感信息。”

modzero 指出，Synology 的公开公告中没有包含任何客户警报或妨碍指示（IoCs）。虽然 Synology 并未提供任何取证细节，但 modzero 提供了如下信息： ABM 客户端 ID：b4f234da-3a1a-4f4d-a058-23ed08928904，可疑 IP 地址：220.130.175.235，以及 ASN AS3462。报告中还指出，在预定备份窗口之外进行大量的 Graph API 调用和外国服务主体触发的应用权限，进一步加深了外界对这一漏洞的关注。

针对这一情况，网络安全专家提醒所有使用 Synology ABM 的企业要提高警惕，进行必要的安全审计和加固。此外，该漏洞的公开还引发了外界对更广泛的云安全问题的讨论，特别是关于如何在快速发展的技术环境中平衡灵活性与安全性的问题。在这个信息技术迅速演变的时代，确保数据安全的 urgent necessity 则愈显重要。随着企业愈发依赖于云服务，确保这些平台的可靠性和安全性将是每一个 CIO 和安全主管必须面对的重要挑战。同时，便捷的工具和服务一旦没有做好周全的闭环防护，其潜在的威胁便会居于不瑞。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课