WDigest:清除內存中的密碼,使mimikatz等工具無法獲取到明文
它是什麼?
WDigest.dll是在Windows XP操作系統中引入的。摘要認證協議設計用於超文本傳輸協議(HTTP)和簡單認證安全層(SASL)交換,如RFC 2617和2831中所述。
許多人認為Digest認證是一種與Web瀏覽器一起使用以驗證瀏覽Internet的用戶的協議。然而,Digest認證也是可以用於認證的通用協議,並且通過使用SASL,它可以提供完整性保護。例如,您可以使用摘要身份驗證:
經過身份驗證的客戶端訪問網站n使用SASL進行身份驗證客戶端訪問n使用LDAP對目錄服務進行身份驗證的身份驗證客戶端訪問n
為什麼不好
WDigest的問題是它將密碼存儲在內存中,並且無論是否使用它,都會將其存儲在內存中。除非密碼以明文保存在內存中,否則WDigest無法正常工作,因此如果使用WDigest,則無法進行修復。以下操作系統受到影響:Windows 7,Windows 8,Windows 8.1,Windows Server 2008,Windows Server 2008R2和Windows Server 2012。
例子
以下是使用Meterpreter在Windows Server 2008 R2上運行WDigest的示例。紅色箭頭指向用戶的密碼,現在可以用來轉移到其他機器和其他網路(密碼重複利用)。
修復前
修復後
如何修復
在禁用WDigest之前,首先,請確保您的環境未通過查看您的伺服器和域控制器日誌或SIEM用於事件ID 4776和4624.更多信息可以在此鏈接的底部找到。我還沒有遇到使用WDigest的應用程序。如果您已經看到WDigest今天仍在使用中,請與我聯繫或發布。經過驗證後,您的環境中沒有使用WDigest,請遵循以下建議:
Windows Server 2008:從HKLMSystemCurrentControlSetControlLsaSecurityPack中刪除WDigest,然後重新啟動伺服器。
刪除和重新啟動後
Windows Server 2008 R2-2012,Windows 7,Windows 8:下載並安裝KB2871997,然後在HKLMSystemCurrentControlSetControlSecurityProvidersWDigest中創建/設置UseLogonCredential= dword:00000000
Windows Server 2012 R2-2016:默認情況下禁用WDigest,不執行任何操作
概要
如果可以,將WDigest從整個環境中禁止從工作站到伺服器到域控制器。修復程序相當簡單,每次都可以生效。憑證的作用在過去一直很大,一旦在Petya惡意軟體中看到,未來一定會更大。我將很快發布一篇關於如何阻止NTLM哈希值記錄的文章,敬請期待!如果您有任何問題,請在下方發帖或直接發送給我。感謝閱讀,希望這有幫助!
來源
KB2871997
什麼是摘要認證?
在Windows 8.1中使用Meterpreter Mimikatz 獲取WDIGest憑據
如若轉載,請註明原文地址: http://www.4hou.com/info/news/8126.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※Windows修復兩個嚴重遠程代碼執行漏洞(CVE-2017-8543/8464)
TAG:信息安全 |