2 月 15 日消息,技术团队 MASSGRAVE 昨日(2 月 14 日)发布博文,宣布成功突破 Windows 的核心 DRM 系统软件保护平台(SPP),发现了迄今为止最强大的 Windows 激活漏洞 TSforge,能够激活 Windows 7 以来所有版本的 Windows 系统,以及 Office 2013 以来的所有版本和附加组件。
软件保护平台(SPP)
微软软件保护平台(SPP)是 Windows 操作系统中的一个重要组件,负责保护和管理软件许可证,验证 Windows 和其他微软产品的合法性,防止未经授权的复制、篡改许可和启动功能。
SPP 是近 20 年来 Windows 的核心 DRM 系统,也是自 Windows Vista 早期开发以来激活系统的主要途径。尽管多年来出现了各种绕过 SPP 的技巧,但从未有过直接攻击 SPP 本身的漏洞利用。
CID 技巧的发现:
研究人员在 2023 年发现了一种名为“CID 技巧”的方法,可以绕过 SPP 验证,写入伪造的确认 ID(CID)。IT之家注:CID 是通过电话激活 Windows 时使用的数值,由于电话激活无需联网,所有 Windows 版本和附加组件都至少有一个可电话激活的许可通道。
通过修改内存中 CID 验证代码,研究人员可以使用全零 CID 激活 Windows,并且即使重启 sppsvc 服务后激活状态依然保留,这表明 SPP 保存的激活数据在写入后不会再次验证。
激活数据存储位置的探索:
研究人员发现激活数据存储在“可信存储区”中,该存储区的数据以加密文件形式保存,并与 HKLM\SYSTEM\WPA 下的加密注册表项相关联。
在 Windows 8.1 和 10 上,数据主要存储在 C:\Windows\System32\spp\store\2.0\data.dat 和 C:\Windows\System32\spp\store\2.0\tokens.dat 中。
Windows 7 则使用了 spsys.sys 驱动程序将数据写入 C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-*.C7483456-A289-439d-8115-601632D005A0 文件和 WPA 注册表项。
突破口
研究人员通过分析泄露的 Windows 8 早期版本(Build 7792 和 7850)的 spsys.sys 驱动程序,找到了破解可信存储区的方法。通过跳过加密调用,可以直接将未加密的内容写入磁盘。
团队结合对 Windows 10 sppsvc.exe 的研究,找到了加密、解密、签名校验和哈希校验例程,并通过修补这些例程,使 sppsvc 解密 data.dat 文件并接受修改。
获取和利用
研究人员通过逆向工程和模拟 RSA 解密例程 SpModExpPrv,成功获取了用于加密 AES 密钥的 RSA 私钥,进而解密了可信存储区的数据。
团队还绕过了 Windows 7 和 CSVLK 的 PKEY2005 编码系统,并创建了适用于所有硬件的通用 HWID,最终实现了几乎所有 Windows 版本的离线激活。
