20 年來首次！微軟 SPP 被攻破，最強漏洞 TSforge 橫空出世，實現(xiàn) Windows / Office 全版本激活

IT之家 2 月 15 日消息，技術(shù)團隊 MASSGRAVE 昨日（2 月 14 日）發(fā)布博文，宣布成功突破 Windows 的核心 DRM 系統(tǒng)軟件保護平臺（SPP），發(fā)現(xiàn)了迄今為止最強大的 Windows 激活漏洞 TSforge，能夠激活 Windows 7 以來所有版本的 Windows 系統(tǒng)，以及 Office 2013 以來的所有版本和附加組件。

軟件保護平臺（SPP）

微軟軟件保護平臺（SPP）是 Windows 操作系統(tǒng)中的一個重要組件，負責保護和管理軟件許可證，驗證 Windows 和其他微軟產(chǎn)品的合法性，防止未經(jīng)授權(quán)的復制、篡改許可和啟動功能。

SPP 是近 20 年來 Windows 的核心 DRM 系統(tǒng)，也是自 Windows Vista 早期開發(fā)以來激活系統(tǒng)的主要途徑。盡管多年來出現(xiàn)了各種繞過 SPP 的技巧，但從未有過直接攻擊 SPP 本身的漏洞利用。

CID 技巧的發(fā)現(xiàn):

研究人員在 2023 年發(fā)現(xiàn)了一種名為“CID 技巧”的方法，可以繞過 SPP 驗證，寫入偽造的確認 ID（CID）。IT之家注：CID 是通過電話激活 Windows 時使用的數(shù)值，由于電話激活無需聯(lián)網(wǎng)，所有 Windows 版本和附加組件都至少有一個可電話激活的許可通道。

通過修改內(nèi)存中 CID 驗證代碼，研究人員可以使用全零 CID 激活 Windows，并且即使重啟 sppsvc 服務后激活狀態(tài)依然保留，這表明 SPP 保存的激活數(shù)據(jù)在寫入后不會再次驗證。

激活數(shù)據(jù)存儲位置的探索:

研究人員發(fā)現(xiàn)激活數(shù)據(jù)存儲在“可信存儲區(qū)”中，該存儲區(qū)的數(shù)據(jù)以加密文件形式保存，并與 HKLM\SYSTEM\WPA 下的加密注冊表項相關(guān)聯(lián)。

在 Windows 8.1 和 10 上，數(shù)據(jù)主要存儲在 C:\Windows\System32\spp\store\2.0\data.dat 和 C:\Windows\System32\spp\store\2.0\tokens.dat 中。

Windows 7 則使用了 spsys.sys 驅(qū)動程序?qū)?shù)據(jù)寫入 C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-*.C7483456-A289-439d-8115-601632D005A0 文件和 WPA 注冊表項。

突破口

研究人員通過分析泄露的 Windows 8 早期版本（Build 7792 和 7850）的 spsys.sys 驅(qū)動程序，找到了破解可信存儲區(qū)的方法。通過跳過加密調(diào)用，可以直接將未加密的內(nèi)容寫入磁盤。

團隊結(jié)合對 Windows 10 sppsvc.exe 的研究，找到了加密、解密、簽名校驗和哈希校驗例程，并通過修補這些例程，使 sppsvc 解密 data.dat 文件并接受修改。

獲取和利用

研究人員通過逆向工程和模擬 RSA 解密例程 SpModExpPrv，成功獲取了用于加密 AES 密鑰的 RSA 私鑰，進而解密了可信存儲區(qū)的數(shù)據(jù)。

團隊還繞過了 Windows 7 和 CSVLK 的 PKEY2005 編碼系統(tǒng)，并創(chuàng)建了適用于所有硬件的通用 HWID，最終實現(xiàn)了幾乎所有 Windows 版本的離線激活。

項目地址：https://github.com/massgravel/TSforge

官網(wǎng)介紹：https://massgrave.dev/blog/tsforge

相關(guān)閱讀：

• 《MASSGRAVE 團隊預告新工具：可破解幾乎所有 Windows / Office，Win10 終止主流支持后可激活 ESU 版本》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。