20 年來(lái)首次!微軟 SPP 被攻破,最強(qiáng)漏洞 TSforge 橫空出世,實(shí)現(xiàn) Windows / Office 全版本激活
2 月 15 日消息,技術(shù)團(tuán)隊(duì) MASSGRAVE 昨日(2 月 14 日)發(fā)布博文,宣布成功突破 Windows 的核心 DRM 系統(tǒng)軟件保護(hù)平臺(tái)(SPP),發(fā)現(xiàn)了迄今為止最強(qiáng)大的 Windows 激活漏洞 TSforge,能夠激活 Windows 7 以來(lái)所有版本的 Windows 系統(tǒng),以及 Office 2013 以來(lái)的所有版本和附加組件。
軟件保護(hù)平臺(tái)(SPP)
微軟軟件保護(hù)平臺(tái)(SPP)是 Windows 操作系統(tǒng)中的一個(gè)重要組件,負(fù)責(zé)保護(hù)和管理軟件許可證,驗(yàn)證 Windows 和其他微軟產(chǎn)品的合法性,防止未經(jīng)授權(quán)的復(fù)制、篡改許可和啟動(dòng)功能。
SPP 是近 20 年來(lái) Windows 的核心 DRM 系統(tǒng),也是自 Windows Vista 早期開(kāi)發(fā)以來(lái)激活系統(tǒng)的主要途徑。盡管多年來(lái)出現(xiàn)了各種繞過(guò) SPP 的技巧,但從未有過(guò)直接攻擊 SPP 本身的漏洞利用。
CID 技巧的發(fā)現(xiàn):
研究人員在 2023 年發(fā)現(xiàn)了一種名為“CID 技巧”的方法,可以繞過(guò) SPP 驗(yàn)證,寫入偽造的確認(rèn) ID(CID)。IT之家注:CID 是通過(guò)電話激活 Windows 時(shí)使用的數(shù)值,由于電話激活無(wú)需聯(lián)網(wǎng),所有 Windows 版本和附加組件都至少有一個(gè)可電話激活的許可通道。
通過(guò)修改內(nèi)存中 CID 驗(yàn)證代碼,研究人員可以使用全零 CID 激活 Windows,并且即使重啟 sppsvc 服務(wù)后激活狀態(tài)依然保留,這表明 SPP 保存的激活數(shù)據(jù)在寫入后不會(huì)再次驗(yàn)證。
激活數(shù)據(jù)存儲(chǔ)位置的探索:
研究人員發(fā)現(xiàn)激活數(shù)據(jù)存儲(chǔ)在“可信存儲(chǔ)區(qū)”中,該存儲(chǔ)區(qū)的數(shù)據(jù)以加密文件形式保存,并與 HKLM\SYSTEM\WPA 下的加密注冊(cè)表項(xiàng)相關(guān)聯(lián)。
在 Windows 8.1 和 10 上,數(shù)據(jù)主要存儲(chǔ)在 C:\Windows\System32\spp\store\2.0\data.dat 和 C:\Windows\System32\spp\store\2.0\tokens.dat 中。
Windows 7 則使用了 spsys.sys 驅(qū)動(dòng)程序?qū)?shù)據(jù)寫入 C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-*.C7483456-A289-439d-8115-601632D005A0 文件和 WPA 注冊(cè)表項(xiàng)。
突破口
研究人員通過(guò)分析泄露的 Windows 8 早期版本(Build 7792 和 7850)的 spsys.sys 驅(qū)動(dòng)程序,找到了破解可信存儲(chǔ)區(qū)的方法。通過(guò)跳過(guò)加密調(diào)用,可以直接將未加密的內(nèi)容寫入磁盤。
團(tuán)隊(duì)結(jié)合對(duì) Windows 10 sppsvc.exe 的研究,找到了加密、解密、簽名校驗(yàn)和哈希校驗(yàn)例程,并通過(guò)修補(bǔ)這些例程,使 sppsvc 解密 data.dat 文件并接受修改。
獲取和利用
研究人員通過(guò)逆向工程和模擬 RSA 解密例程 SpModExpPrv,成功獲取了用于加密 AES 密鑰的 RSA 私鑰,進(jìn)而解密了可信存儲(chǔ)區(qū)的數(shù)據(jù)。
團(tuán)隊(duì)還繞過(guò)了 Windows 7 和 CSVLK 的 PKEY2005 編碼系統(tǒng),并創(chuàng)建了適用于所有硬件的通用 HWID,最終實(shí)現(xiàn)了幾乎所有 Windows 版本的離線激活。
項(xiàng)目地址:https://github.com/massgravel/TSforge
官網(wǎng)介紹:https://massgrave.dev/blog/tsforge
