群晖 ABM 漏洞(CVE-2025-4679)泄露全局客户端密钥，危及所有微软 365 租户

漏洞概述

群晖科技(Synology)的群晖全局Active Backup for Microsoft 365（ABM）软件存在安全漏洞，导致无数企业的洞C端密云数据面临未授权访问风险 。该漏洞编号为CVE-2025-4679，泄露攻击者利用泄露的客户应用程序凭证即可渗透任何安装了ABM的微软租户——无需事先获取访问权限 。

根据modzero发布的钥危有微详细技术报告 ，该漏洞是服务器租用软租在红队演练期间发现的 
，研究人员迅速将其定性为"大量企业微软租户的群晖全局后门"
。

技术原理

群晖ABM软件通过与微软Entra ID的洞C端密OAuth集成，实现Teams、泄露OneDrive和Exchange等微软365服务的客户自动备份。其设置过程中涉及一个中间件服务(synooauth.synology.com) ，源码库钥危有微该服务竟在重定向URL中泄露了静态client_secret（客户端密钥） 。软租

报告指出："响应报文的群晖全局Location头部包含多个参数，其中就包含client_secret的洞C端密值。"该密钥属于群晖的泄露全局应用注册，而非特定租户——意味着所有安装ABM的租户均可通用 。造成的免费模板后果极为严重
：

无需通过群晖或微软的任何认证

攻击者可利用该凭证获取Teams消息
、群组成员、Outlook内容和日历的只读权限

研究人员演示了攻击者如何仅凭公开的client_id和client_secret，就能使用泄露的凭证请求微软Graph API访问令牌 。这实际上为所有启用ABM的组织创建了一个通用的建站模板云访问密钥，可能被用于：

企业环境间谍活动勒索软件攻击前的侦察地下数据交易漏洞处置

modzero于2025年4月4日向群晖报告该问题，群晖确认后分配了CVE编号
，但双方对漏洞严重性评估存在显著分歧——群晖给出的CVSS评分为6.5，远低于研究人员建议的8.6分。

群晖的公告仅含糊描述为："群晖Active Backup for Microsoft 365存在漏洞，高防服务器允许经过认证的远程攻击者通过未指定途径获取敏感信息 。"值得注意的是，公告中未包含客户警报或入侵指标(IoC) 。

modzero提供了以下取证细节
：

ABM客户端ID：b4f234da-3a1a-4f4d-a058-23ed08928904可疑IP
：220.130.175.235及ASNAS3462计划备份时段外异常的Graph API调用记录来自其他微软租户的应用权限异常服务主体

很赞哦!（6）