2 月 15 日消息，技術(shù)團(tuán)隊(duì) MASSGRAVE 昨日（2 月 14 日）發(fā)布博文，宣布成功突破 Windows 的核心 DRM 系統(tǒng)軟件保護(hù)平臺(tái)（SPP），發(fā)現(xiàn)了迄今為止最強(qiáng)大的 Windows 激活漏洞 TSforge，能夠激活 Windows 7 以來所有版本的 Windows 系統(tǒng)，以及 Office 2013 以來的所有版本和附加組件。

軟件保護(hù)平臺(tái)（SPP）

微軟軟件保護(hù)平臺(tái)（SPP）是 Windows 操作系統(tǒng)中的一個(gè)重要組件，負(fù)責(zé)保護(hù)和管理軟件許可證，驗(yàn)證 Windows 和其他微軟產(chǎn)品的合法性，防止未經(jīng)授權(quán)的復(fù)制、篡改許可和啟動(dòng)功能。

SPP 是近 20 年來 Windows 的核心 DRM 系統(tǒng)，也是自 Windows Vista 早期開發(fā)以來激活系統(tǒng)的主要途徑。盡管多年來出現(xiàn)了各種繞過 SPP 的技巧，但從未有過直接攻擊 SPP 本身的漏洞利用。

CID 技巧的發(fā)現(xiàn):

研究人員在 2023 年發(fā)現(xiàn)了一種名為“CID 技巧”的方法，可以繞過 SPP 驗(yàn)證，寫入偽造的確認(rèn) ID（CID）。IT之家注：CID 是通過電話激活 Windows 時(shí)使用的數(shù)值，由于電話激活無需聯(lián)網(wǎng)，所有 Windows 版本和附加組件都至少有一個(gè)可電話激活的許可通道。

通過修改內(nèi)存中 CID 驗(yàn)證代碼，研究人員可以使用全零 CID 激活 Windows，并且即使重啟 sppsvc 服務(wù)后激活狀態(tài)依然保留，這表明 SPP 保存的激活數(shù)據(jù)在寫入后不會(huì)再次驗(yàn)證。

激活數(shù)據(jù)存儲(chǔ)位置的探索:

研究人員發(fā)現(xiàn)激活數(shù)據(jù)存儲(chǔ)在“可信存儲(chǔ)區(qū)”中，該存儲(chǔ)區(qū)的數(shù)據(jù)以加密文件形式保存，并與 HKLM\SYSTEM\WPA 下的加密注冊(cè)表項(xiàng)相關(guān)聯(lián)。

在 Windows 8.1 和 10 上，數(shù)據(jù)主要存儲(chǔ)在 C:\Windows\System32\spp\store\2.0\data.dat 和 C:\Windows\System32\spp\store\2.0\tokens.dat 中。

Windows 7 則使用了 spsys.sys 驅(qū)動(dòng)程序?qū)?shù)據(jù)寫入 C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-*.C7483456-A289-439d-8115-601632D005A0 文件和 WPA 注冊(cè)表項(xiàng)。

突破口

研究人員通過分析泄露的 Windows 8 早期版本（Build 7792 和 7850）的 spsys.sys 驅(qū)動(dòng)程序，找到了破解可信存儲(chǔ)區(qū)的方法。通過跳過加密調(diào)用，可以直接將未加密的內(nèi)容寫入磁盤。

團(tuán)隊(duì)結(jié)合對(duì) Windows 10 sppsvc.exe 的研究，找到了加密、解密、簽名校驗(yàn)和哈希校驗(yàn)例程，并通過修補(bǔ)這些例程，使 sppsvc 解密 data.dat 文件并接受修改。

獲取和利用

研究人員通過逆向工程和模擬 RSA 解密例程 SpModExpPrv，成功獲取了用于加密 AES 密鑰的 RSA 私鑰，進(jìn)而解密了可信存儲(chǔ)區(qū)的數(shù)據(jù)。

團(tuán)隊(duì)還繞過了 Windows 7 和 CSVLK 的 PKEY2005 編碼系統(tǒng)，并創(chuàng)建了適用于所有硬件的通用 HWID，最終實(shí)現(xiàn)了幾乎所有 Windows 版本的離線激活。

項(xiàng)目地址：https://github.com/massgravel/TSforge

官網(wǎng)介紹：https://massgrave.dev/blog/tsforge