突破20年尘封!TSforge神级漏洞登场,成功激活Windows/Office全版本,微软SPP再遭攻破!
TSforge神级漏洞再现!Windows/Office全版本激活神器震撼发布,微软SPP再遭重创!
2月15日消息,技术团队MASSGRAVE于昨日(2月14日)发布了一篇博文,宣布他们成功绕过了Windows的核心DRM系统软件保护平台(SPP),发现了一个迄今为止最为强大的Windows激活漏洞——TSforge。该漏洞可以激活从Windows7到最新版本的所有Windows系统,以及从Office2013到最新版本的所有Office产品及其附加组件。
微软软件保护平台(SPP)是Windows系统中的关键模块,旨在保障和管控软件授权,确保Windows及其他微软产品使用的合法性,防范非法复制、篡改许可及阻止未授权启动。
SPP是近20年来Windows的关键DRM系统,自Windows Vista早期开发阶段起,它就成为激活系统的主要方式。尽管多年来出现了多种规避SPP的方法,但至今尚未发现针对SPP本身的漏洞利用。
研究人员在2023年发现了一种名为“CID技巧”的新方法,该方法能够绕过SPP(Software Protection Platform)验证系统,从而写入伪造的确认ID(CID)。CID是在电话激活Windows操作系统时所必需的数值。由于电话激活过程不需要连接互联网,因此所有Windows版本及其附加组件都至少有一个可以通过电话进行激活的许可渠道。 这种新型攻击手段无疑为网络安全带来了新的挑战。它不仅可能威胁到个人用户的安全,还可能对企业的信息安全造成严重威胁。微软应当尽快采取措施来修补这一漏洞,并且提醒广大用户注意安全防护,以免遭受不必要的损失。同时,这也提醒我们,在享受数字技术带来的便利的同时,也要时刻关注潜在的安全隐患,共同维护网络环境的安全稳定。
通过修改内存中的CID验证代码,研究人员发现可以利用全零CID来激活Windows系统,并且即便在重启sppsvc服务之后,激活状态仍然得以保持。这表明SPP保存的激活信息在写入后不再进行二次验证。
研究人员发现激活数据存储在“可信存储区”中,该存储区的数据以加密文件形式保存,并与 HKLM\SYSTEM\WPA 下的加密注册表项相关联。
在 Windows 8.1 和 10 上,数据主要存储在 C:\Windows\System32\spp\store\2.0\data.dat 和 C:\Windows\System32\spp\store\2.0\tokens.dat 中。
Windows 7 则使用了 spsys.sys 驱动程序将数据写入 C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-*.C7483456-A289-439d-8115-601632D005A0 文件和 WPA 注册表项。
研究人员通过对泄露的Windows 8早期版本(Build 7792和7850)的spsys.sys驱动程序进行分析,发现了一种绕过可信存储区加密的方法。他们通过跳过某些加密调用,能够直接将未加密的数据写入磁盘。
团队结合对 Windows 10 sppsvc.exe 的研究,找到了加密、解密、签名校验和哈希校验例程,并通过修补这些例程,使 sppsvc 解密 data.dat 文件并接受修改。
研究人员通过逆向工程和模拟RSA解密过程SpModExpPrv,成功提取了用于加密AES密钥的RSA私钥,从而实现了对可信存储区数据的解密。
团队成功规避了Windows 7和CSVLK的PKEY2005编码系统,开发出一种适用于各种硬件的通用HWID,最终实现了对几乎全部Windows版本的离线激活。
项目地址:https://github.com/massgravel/TSforge
官网介绍:https://massgrave.dev/blog/tsforge
相关阅读:
《MASSGRAVE 团队预告新工具:可破解几乎所有 Windows / Office,Win10 终止主流支持后可激活 ESU 版本》