2 月 15 日消息,技术团队 MASSGRAVE 昨日(2 月 14 日)发布博文,宣布成功突破 Windows 的核心 DRM 系统软件保护平台(SPP),发现了迄今为止最强大的 Windows 激活漏洞 TSforge,能够激活 Windows 7 以来所有版本的 Windows 系统,以及 Office 2013 以来的所有版本和附加组件。
微软软件保护平台(SPP)是 Windows 操作系统中的一个重要组件,负责保护和管理软件许可证,验证 Windows 和其他微软产品的合法性,防止未经授权的复制、篡改许可和启动功能。
SPP 是近 20 年来 Windows 的核心 DRM 系统,也是自 Windows Vista 早期开发以来激活系统的主要途径。尽管多年来出现了各种绕过 SPP 的技巧,但从未有过直接攻击 SPP 本身的漏洞利用。
CID 技巧的发现:研究人员在 2023 年发现了一种名为“CID 技巧”的方法,可以绕过 SPP 验证,写入伪造的确认 ID(CID)。注:CID 是通过电话激活 Windows 时使用的数值,由于电话激活无需联网,所有 Windows 版本和附加组件都至少有一个可电话激活的许可通道。
通过修改内存中 CID 验证代码,研究人员可以使用全零 CID 激活 Windows,并且即使重启 sppsvc 服务后激活状态依然保留,这表明 SPP 保存的激活数据在写入后不会再次验证。
激活数据存储位置的探索:研究人员发现激活数据存储在“可信存储区”中,该存储区的数据以加密文件形式保存,并与 HKLM/SYSTEM/WPA 下的加密注册表项相关联。
在 Windows 8.1 和 10 上,数据主要存储在 C:/Windows/System32/spp/store/2.0/data.dat 和 C:/Windows/System32/spp/store/2.0/tokens.dat 中。
Windows 7 则使用了 spsys.sys 驱动程序将数据写入 C:/Windows/System32/7B296FB0-376B-497e-B012-9C450E1B7327-5P-*.C7483456-A289-439d-8115-601632D005A0 文件和 WPA 注册表项。
突破口研究人员通过分析泄露的 Windows 8 早期版本(Build 7792 和 7850)的 spsys.sys 驱动程序,找到了破解可信存储区的方法。通过跳过加密调用,可以直接将未加密的内容写入磁盘。
团队结合对 Windows 10 sppsvc.exe 的研究,找到了加密、解密、签名校验和哈希校验例程,并通过修补这些例程,使 sppsvc 解密 data.dat 文件并接受修改。
获取和利用研究人员通过逆向工程和模拟 RSA 解密例程 SpModExpPrv,成功获取了用于加密 AES 密钥的 RSA 私钥,进而解密了可信存储区的数据。
团队还绕过了 Windows 7 和 CSVLK 的 PKEY2005 编码系统,并创建了适用于所有硬件的通用 HWID,最终实现了几乎所有 Windows 版本的离线激活。
项目地址:https://github.com/massgravel/TSforge
官网介绍:https://massgrave.dev/blog/tsforge
相关阅读:
《MASSGRAVE 团队预告新工具:可破解几乎所有 Windows / Office,Win10 终止主流支持后可激活 ESU 版本》
本文链接:http://www.28at.com/showinfo-119-130576-0.html20 年来首次!微软 SPP 被攻破,最强漏洞 TSforge 横空出世,实现 Windows Office 全版本激活
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。邮件:2376512515@qq.com
Copyright © 2016-2023 天津谷骐科技有限公司 版权所有 sitemap.xml
违法及侵权请联系:2376512515@qq.com 津ICP备18001702号
津公网安备 12010102000574号
