Dans un article publié par Modzero, une vulnérabilité critique a été découverte dans l’application Synology Active Backup for Microsoft 365 (ABM) qui permettait l’accès non autorisé à tous les locataires Microsoft des organisations utilisant ce service. Cette faille, identifiée comme CVE-2025-4679, a été signalée à Synology.
L’impact de cette vulnérabilité est significatif, car elle pourrait être exploitée par des acteurs malveillants pour obtenir des informations potentiellement sensibles, telles que tous les messages dans les canaux de Microsoft Teams. Cela fait de l’application un cible idéale pour des attaques ultérieures, notamment par abus de crédentiels ou ingénierie sociale.
L’analyse a été réalisée dans un environnement de laboratoire en utilisant un locataire Microsoft sandbox et l’add-on ABM installé dans le système d’exploitation DiskStation Manager (DSM) de Synology. Il est à noter que pour la recherche, il n’est pas nécessaire de posséder un appareil NAS Synology, car le système d’exploitation peut être virtualisé via Docker.
Des outils ont été développés pour faciliter le reverse engineering des packages d’add-on DSM, et ceux-ci seront partagés prochainement sur GitHub pour aider d’autres chercheurs en sécurité.
Cet article est une publication de recherche visant à détailler la découverte technique de la vulnérabilité, son impact, et le processus de divulgation responsable avec Synology.
🔗 Source originale : https://modzero.com/en/blog/when-backups-open-backdoors-synology-active-backup-m365/