微軟防線告急！最強漏洞TSforge橫空出世，Windows/Office全版本離線啟用成為現實

轉自：ITPUB

微軟SPP遭突破！TSforge讓Windows及Office全版本離線啟用成可能。

日前，技術團隊MASSGRAVE釋出博文，宣佈成功突破Windows的核心DRM系統軟體保護平臺（SPP），發現了迄今為止最強大的Windows啟用漏洞TSforge，能夠啟用Windows7以來所有版本的Windows系統，以及Office2013以來的所有版本和附加元件。

一言以蔽之，TSforge漏洞的發現，直接暴露了SPP系統的脆弱性，對微軟的軟體保護機制提出了嚴峻的挑戰。這意味著，攻擊者可能利用這一漏洞，繞過微軟的正版驗證機制，非法啟用Windows和Office產品，對微軟的軟體銷售和版權保護造成潛在威脅。

何謂軟體保護平臺（SPP）

軟體保護平臺（SPP），在Windows作業系統裡，扮演著至關重要的守護者角色。它是微軟精心打造的一套系統，專門負責管理和守護軟體許可證的安全，確保每一份Windows系統和其他微軟產品的合法身份得到驗證。

自Windows Vista的早期開發階段起，SPP就成為了啟用系統的主要途徑。它像是一道堅實的防線，阻擋著那些試圖繞過正規途徑使用Windows系統的行為。儘管隨著時間的推移，網路上出現了各種各樣的技巧試圖繞過SPP的限制，但SPP本身卻像是一座堅不可摧的堡壘，從未被直接攻破過。

SPP的工作機制相當複雜，但簡而言之，它就是透過對軟體許可證進行驗證和管理，來確保每一份Windows系統和微軟產品都是合法且正版的。這樣一來，無論是使用者還是微軟公司，都能從中受益。使用者能夠享受到穩定、安全的軟體環境，而微軟公司則能夠維護其產品的合法權益，促進軟體產業的健康發展。

“CID技巧”實現的突破

早在2023年，MASSGRAVE研究團隊取得了一項突破性的發現，他們揭示了一種名為“CID技巧”的新方法，這一方法能夠巧妙地繞過軟體保護平臺（SPP）的驗證機制，允許使用者寫入偽造的確認ID（CID）。CID是在透過電話方式啟用Windows作業系統時所使用的關鍵數值，而電話啟用方式的一個顯著特點是不需要網路連線，這意味著所有Windows版本及其附加元件都至少保留了一個可透過電話啟用的許可通道。

研究人員透過深入探索，成功修改了記憶體中的CID驗證程式碼，從而實現了使用全零CID啟用Windows的壯舉。更為引人注目的是，即使在重啟sppsvc（軟體保護服務）之後，啟用狀態依然保持穩定，這一發現揭示出SPP在寫入啟用資料後並未進行二次驗證的安全漏洞。

進一步的研究將焦點投向了啟用資料的儲存位置——一個被稱為“可信儲存區”的加密檔案。這個檔案與Windows登錄檔中的HKLM\SYSTEM\WPA項緊密相連，共同守護著啟用資料的安全。在Windows 8.1系統中，這些寶貴的資料主要被儲存在C:\Windows\System32\spp\store\2.0\data.dat，在Windows 10中則被儲存在C:\Windows\System32\spp\store\2.0\tokens.dat檔案。而Windows 7則採用了不同的策略，它利用spsys.sys驅動程式將資料寫入特定的檔案和WPA登錄檔項。

MASSGRAVE團隊透過對洩露的Windows 8早期版本中的spsys.sys驅動程式進行深入分析，成功找到了破解可信儲存區的方法。他們巧妙地跳過了加密呼叫，直接將未加密的內容寫入磁碟，這一步驟為後續的破解工作奠定了堅實的基礎。

與此同時，團隊還將研究目光轉向了Windows 10中的sppsvc.exe（軟體保護服務程序）。透過細緻入微的研究，他們不僅找到了加密、解密、簽名校驗和雜湊校驗的例程，還透過精妙的修補技巧，使得sppsvc能夠解密data.dat檔案，並欣然接受了研究團隊所做的修改。這一系列發現無疑為理解Windows啟用機制的安全性提供了全新的視角，也為未來的安全防護工作提出了新的挑戰。

寫在最後

儘管MASSGRAVE團能夠利用偵錯程式和十六進位制編輯器對軟體保護平臺（SPP）造成顯著的破壞，我仍然堅信，它是一個相當先進且構建精良的數字版權管理（DRM）系統。與Windows XP時代的DRM相比，其內部機制無疑有了顯著的改進。儘管有些人可能會批評DRM的設計存在缺陷，但不可否認的是，它在抵禦一些最常見的攻擊方面表現得相當出色，比如透過交換物理儲存檔案來嘗試重置評估計時器的行為。