回归最本质的信息安全

WDigest:清除内存中的密码,使mimikatz等工具无法获取到明文

2017年10月23日发布

55,404
0
5

导语:WDigest:清除内存中的密码

它是什么?

WDigest.dll是在Windows XP操作系统中引入的。摘要认证协议设计用于超文本传输协议(HTTP)和简单认证安全层(SASL)交换,如RFC 2617和2831中所述。

许多人认为Digest认证是一种与Web浏览器一起使用以验证浏览Internet的用户的协议。然而,Digest认证也是可以用于认证的通用协议,并且通过使用SASL,它可以提供完整性保护。例如,您可以使用摘要身份验证:

经过身份验证的客户端访问网站
使用SASL进行身份验证客户端访问
使用LDAP对目录服务进行身份验证的身份验证客户端访问

为什么不好
WDigest的问题是它将密码存储在内存中,并且无论是否使用它,都会将其存储在内存中。除非密码以明文保存在内存中,否则WDigest无法正常工作,因此如果使用WDigest,则无法进行修复。以下操作系统受到影响:Windows 7,Windows 8,Windows 8.1,Windows Server 2008,Windows Server 2008R2和Windows Server 2012。
例子
以下是使用Meterpreter在Windows Server 2008 R2上运行WDigest的示例。红色箭头指向用户的密码,现在可以用来转移到其他机器和其他网络(密码重复利用)。
修复前
修复后
如何修复
在禁用WDigest之前,首先,请确保您的环境未通过查看您的服务器和域控制器日志或SIEM用于事件ID 4776和4624.更多信息可以在链接的底部找到。我还没有遇到使用WDigest的应用程序。如果您已经看到WDigest今天仍在使用中,请与我联系或发布。经过验证后,您的环境中没有使用WDigest,请遵循以下建议:
Windows Server 2008:从HKLM\System\CurrentControl\SetControl\LsaSecurityPack中删除WDigest,然后重新启动服务器。
删除和重新启动后
Windows Server 2008 R2-2012,Windows 7,Windows 8:下载并安装KB2871997,然后在HKLM\System\Current\Control\SetControl\SecurityProviders\WDigest中创建/设置UseLogonCredential= dword:00000000
Windows Server 2012 R2-2016:默认情况下禁用WDigest,不执行任何操作
概要

如果可以,将WDigest从整个环境中禁止从工作站到服务器到域控制器。修复程序相当简单,每次都可以生效。凭证的作用在过去一直很大,一旦在Petya恶意软件中看到,未来一定会更大。我将很快发布一篇关于如何阻止NTLM哈希值记录的文章,敬请期待!如果您有任何问题,请在下方发帖或直接发送给我。感谢阅读,希望这有帮助

来源

KB2871997
什么是摘要认证?
在Windows 8.1中使用Meterpreter Mimikatz 获取WDIGest凭据


如若转载,请注明原文地址: http://www.4hou.com/info/news/8126.html

点赞 5
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

愣娃

愣娃

这个人很懒,什么也没留下

发私信

发表评论