WDigest：清除內存中的密碼，使mimikatz等工具無法獲取到明文

01-30

它是什麼？

WDigest.dll是在Windows XP操作系統中引入的。摘要認證協議設計用於超文本傳輸協議（HTTP）和簡單認證安全層（SASL）交換，如RFC 2617和2831中所述。

許多人認為Digest認證是一種與Web瀏覽器一起使用以驗證瀏覽Internet的用戶的協議。然而，Digest認證也是可以用於認證的通用協議，並且通過使用SASL，它可以提供完整性保護。例如，您可以使用摘要身份驗證：

經過身份驗證的客戶端訪問網站n使用SASL進行身份驗證客戶端訪問n使用LDAP對目錄服務進行身份驗證的身份驗證客戶端訪問n

為什麼不好

WDigest的問題是它將密碼存儲在內存中，並且無論是否使用它，都會將其存儲在內存中。除非密碼以明文保存在內存中，否則WDigest無法正常工作，因此如果使用WDigest，則無法進行修復。以下操作系統受到影響：Windows 7，Windows 8，Windows 8.1，Windows Server 2008，Windows Server 2008R2和Windows Server 2012。

例子

以下是使用Meterpreter在Windows Server 2008 R2上運行WDigest的示例。紅色箭頭指向用戶的密碼，現在可以用來轉移到其他機器和其他網路（密碼重複利用）。

修復前

修復後

如何修復

在禁用WDigest之前，首先，請確保您的環境未通過查看您的伺服器和域控制器日誌或SIEM用於事件ID 4776和4624.更多信息可以在此鏈接的底部找到。我還沒有遇到使用WDigest的應用程序。如果您已經看到WDigest今天仍在使用中，請與我聯繫或發布。經過驗證後，您的環境中沒有使用WDigest，請遵循以下建議：

Windows Server 2008：從HKLMSystemCurrentControlSetControlLsaSecurityPack中刪除WDigest，然後重新啟動伺服器。

刪除和重新啟動後

Windows Server 2008 R2-2012，Windows 7，Windows 8：下載並安裝KB2871997，然後在HKLMSystemCurrentControlSetControlSecurityProvidersWDigest中創建/設置UseLogonCredential= dword：00000000

Windows Server 2012 R2-2016：默認情況下禁用WDigest，不執行任何操作

概要

如果可以，將WDigest從整個環境中禁止從工作站到伺服器到域控制器。修復程序相當簡單，每次都可以生效。憑證的作用在過去一直很大，一旦在Petya惡意軟體中看到，未來一定會更大。我將很快發布一篇關於如何阻止NTLM哈希值記錄的文章，敬請期待！如果您有任何問題，請在下方發帖或直接發送給我。感謝閱讀，希望這有幫助！

來源

KB2871997

什麼是摘要認證？

在Windows 8.1中使用Meterpreter Mimikatz 獲取WDIGest憑據

如若轉載，請註明原文地址： http://www.4hou.com/info/news/8126.html 更多內容請關注「嘶吼專業版」——Pro4hou