標籤:

WDigest:清除內存中的密碼,使mimikatz等工具無法獲取到明文

它是什麼?

WDigest.dll是在Windows XP操作系統中引入的。摘要認證協議設計用於超文本傳輸協議(HTTP)和簡單認證安全層(SASL)交換,如RFC 2617和2831中所述。

許多人認為Digest認證是一種與Web瀏覽器一起使用以驗證瀏覽Internet的用戶的協議。然而,Digest認證也是可以用於認證的通用協議,並且通過使用SASL,它可以提供完整性保護。例如,您可以使用摘要身份驗證:

經過身份驗證的客戶端訪問網站n使用SASL進行身份驗證客戶端訪問n使用LDAP對目錄服務進行身份驗證的身份驗證客戶端訪問n

為什麼不好

WDigest的問題是它將密碼存儲在內存中,並且無論是否使用它,都會將其存儲在內存中。除非密碼以明文保存在內存中,否則WDigest無法正常工作,因此如果使用WDigest,則無法進行修復。以下操作系統受到影響:Windows 7,Windows 8,Windows 8.1,Windows Server 2008,Windows Server 2008R2和Windows Server 2012。

例子

以下是使用Meterpreter在Windows Server 2008 R2上運行WDigest的示例。紅色箭頭指向用戶的密碼,現在可以用來轉移到其他機器和其他網路(密碼重複利用)。

修復前

修復後

如何修復

在禁用WDigest之前,首先,請確保您的環境未通過查看您的伺服器和域控制器日誌或SIEM用於事件ID 4776和4624.更多信息可以在鏈接的底部找到。我還沒有遇到使用WDigest的應用程序。如果您已經看到WDigest今天仍在使用中,請與我聯繫或發布。經過驗證後,您的環境中沒有使用WDigest,請遵循以下建議:

Windows Server 2008:從HKLMSystemCurrentControlSetControlLsaSecurityPack中刪除WDigest,然後重新啟動伺服器。

刪除和重新啟動後

Windows Server 2008 R2-2012,Windows 7,Windows 8:下載並安裝KB2871997,然後在HKLMSystemCurrentControlSetControlSecurityProvidersWDigest中創建/設置UseLogonCredential= dword:00000000

Windows Server 2012 R2-2016:默認情況下禁用WDigest,不執行任何操作

概要

如果可以,將WDigest從整個環境中禁止從工作站到伺服器到域控制器。修復程序相當簡單,每次都可以生效。憑證的作用在過去一直很大,一旦在Petya惡意軟體中看到,未來一定會更大。我將很快發布一篇關於如何阻止NTLM哈希值記錄的文章,敬請期待!如果您有任何問題,請在下方發帖或直接發送給我。感謝閱讀,希望這有幫助!

來源

KB2871997

什麼是摘要認證?

在Windows 8.1中使用Meterpreter Mimikatz 獲取WDIGest憑據

如若轉載,請註明原文地址: 4hou.com/info/news/8126 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Windows修復兩個嚴重遠程代碼執行漏洞(CVE-2017-8543/8464)

TAG:信息安全 |