ACSのパスワード漏洩は、IBM i における深刻なセキュリティ問題
Access Client Solutions(ACS)を使用していて、従来のWINLOGONプロセスを頼りにしているIBM i のショップは、WindowsクライアントとIBM i サーバーの間でパスワードを同期させる新たな方法を見つける必要があるようです。Silent Signal社からの新たなレポートによれば、今もなお、パスワードが漏洩する可能性はあるということです。
1月初旬、IBMは、Windows 11 24H2アップデート(Microsoftが2024年10月に提供開始)適用後にIBM i のショップが抱えていた問題に関する IBM Supportドキュメント を公開しました。ACS Windowsアプリケーション パッケージを使用していたIBM i 顧客からは、WINLOGON認証オプションを使用してログインすることができなくなったという声がIBMに届いていました。また、マッピングされているIFSドライブにアクセスできなくなった、あるいはエラーが表示されたとの報告もありました。
それらの問題の原因は単純なことだとIBMは述べています。「Microsoftは、Windows 11 24H2アップデートで、OSの観点から*WINLOGONをデフォルトで無効化したため、IBM i Accessのこのオプションは使用できなくなりました」とIBM Supportドキュメントに記しています。「ユーザーは、別の認証オプションを選択する必要があります。」
WINLOGONのおかげで、IBM i 顧客がWindowsマシンとIBM i マシンにアクセスするのに同じ資格情報のセットを使用する場合に、ユーザー名とパスワードを繰り返し入力しなくて済むようになりました。これは、1993年のWindows NT 3.0の最初のリリースの発表以来ずっと使用されてきたオプションです。IBMは、IBM i 顧客がシングル サインオン(SSO)機能の利便性を享受できるように、以前のiSeries Access製品や新たなJavaベースのACS製品など、WindowsベースのクライアントでWINLOGONをサポートしてきました。
しかし、Microsoftは、SSOではWINLOGONから軸足を移しています。代わりに、Microsoftは、現在では、2013年にWindows 8.1で提供された新たなLSA(Local Security Authority: ローカル セキュリティ機関)フレームワークを推奨しています。より新しいシステムでは、LSASS(LSA Subsystem Service: LSAサブシステム サービス)が、保護されたプロセスとして実行されます。ACS(またはその他のクライアント)で稼働するWINLOGONは、LSASSと互換性がありません。Windows 11 24h2アップデートで、LSAはデフォルトで有効化されるようになりました。
Microsoftは、 ようやく2024年3月になって、WINLOGONのような、非推奨化が予定されている機能について注意を促しました。IBMも、IBM i 顧客に対してその準備をするよう促しています。IBMは5月に、ACS 1.1.0.28リリース時の IBM Supportドキュメント で、アップデートを適用すると、ACS Windowsアプリケーション パッケージでWINLOGONがデフォルトで無効化されると注意を促しています。ただし、管理者はこの機能をオンに戻すこともできます。WINLOGONを再有効化する方法として、IBMは、Windowsレジストリを編集して、「Cwbnetnt」というネットワーク プロバイダーDLLの実行を許可する方法について説明しています。
そのことが、これまでにIBM i における十数件のセキュリティ脆弱性を発見しているハンガリーの企業、 Silent Signal社のセキュリティ リサーチャーの関心を引き付けました。同社は、WINLOGONプロセスに関して、IBM i とWindowsの間でどのようなことが起きているのか調査を始めます。
「システム境界間の「中間地帯」は、常にハッカーの活動の場となります。この記事(IBMの1月初旬のブログ記事)に興味を引かれたのは、WindowsのLSA(ローカル セキュリティ機関)サブシステムについて指摘していたからでした」と、Silent Signal社の共同創業者、Bálint Varga-Perke氏は 1月21日のブログ記事で述べています。
調査を進めるうちにVarga-Perke氏は、2016年に Tenable 社というセキュリティ企業によって最初に指摘され、同年IBMが修復した、System i Navigatorのセキュリティ脆弱性に行き当たります。この脆弱性によるリスク要因は低いものの、IBM i とWindowsの間での引き渡しの際に難読化が脆弱なパスワードを悪用することによって、かなり簡単にIBM i ホストにアクセスできると同社は指摘しています。
「この脆弱性は、管理特権を持つWindowsユーザーが、そのiSeriesホストにアクセスする権限を付与されていたり、他のWindowsユーザーのパスワードへのアクセスを許可されていたりしなくても、他のWindowsユーザーによってレジストリに保存されたiSeries/Windows資格情報にアクセスできる点に原因があります」と同社は 2016年6月のブログ記事で記しています。
そうした以前のSystem i Navigatorの問題を見つけても、Varga-Perke氏は止まりませんでした。こう述べています。
「この時点で、「DUPLICATE」(調査済みにつき重複)という扱いにして、作業を切り上げて飲みに出掛けてもよかったのですが、この問題への対応の経過には、イライラさせられるものがありました。この問題に対するCVEは2016年からあります。しかし、IBMが*WINLOGON機能を非推奨とする判断をしたのは2024年になってのことでした。そして、2025年初旬になっても、IBMは互換性の問題についてのドキュメントを発表しなければならなかったわけです。つまり、今もなおこの機能は存続していて、今もなお、厄介な漏洩問題を引き起こすかもしれないということです。」
Varga-Perke氏と彼の同僚は、ACS Windowsアプリケーション パッケージの様々なバージョンをダウンロードし、それらがパスワード漏洩を引き起こす可能性があるかどうか確かめようとします。Windowsスタック トレース ツールなど、様々なツールを使用して、内部を調べ回りました。特に、ACSプロセス「mpnotify.exe」がどのようなデータを書いているかを調べました。
その結果、様々なデータ(レジストリからのBLOB、ホスト名、ビルドGUID、およびOSプロダクトID)を組み合わせることによって、ACSの旧バージョンで、プレーンテキスト パスワードを入手できることが確認されました。しかし、2019年にIBMは、レジストリ アクセス制御リスト(ACL)でBLOBを保護する変更を行っています。
旧バージョンのWindowsおよび旧リリースのACS Windowsアプリケーション パッケージを稼働しているIBM iのショップは、現在も、パスワード漏洩の可能性がある状態で稼働している可能性がありそうです。これは、IBM i 管理者がぜひとも対処するべき問題です。
長期的には、問題は、IBM i およびWindowsシステム間でどのようにしてSSOを有効化するかということになります。IBM i とWindowsは異なる暗号化技術を使用するため、パスワードは、システム間でプレーンテキストとして渡される必要があります。これは、セキュリティはどこか他から用意しなければならないことを意味します。問題は、どこからかということです。
IBMも、1月初旬のIBM Supportドキュメントで、いくつかの選択肢を提示しています(1月28日に更新。Silent Signal社のブログ投稿後のことです)。
「よく使用される選択肢は、デフォルト ユーザー プロファイルを設定することです。ユーザーが初めてIBM i に接続するときには、パスワードを求めるプロンプトが出されます」とIBMは記しています。「それ以降のすべての接続では、指定されたUSRPRFを自動的に使用し、パスワードをキャッシュから取り出します。再度、ユーザーにプロンプトが出されることはありません。キャッシュはリブートするとクリアされるため、その場合は、再度、パスワードの入力が必要となります。」
「もうひとつの選択肢はKerberosを実装することでしょう。ただし、構成は容易ではありません」とIBMは続けます。「管理者は「netrc」または「cwblogon」ユーティリティ(ACS Win APの一部)の使用を検討するかもしれませんが、プレーンテキストの資格情報をファイルに残すことになるため、スクリプトでそれを使用することは推奨できません。」
これは厄介な問題であり、長期的にこの問題に対処するためにIBMがどのようなことを行う予定であるか聞かせてもらいたいものです。一方、Silent Signal社では、IBM i 管理者が、レジストリをクリーン アップして、攻撃者が使用できる可能性のあるエントリーをすべて除去することを推奨しています。
「そのため、ブルー チーム(防御側)であるのなら、「Function Admin Timestamp」キーがないかクイック スキャンを実行して、できるだけ早くそれらを除去するようにしてください」とVarga-Perke氏は記しています。
