Se ha logrado un avance significativo para evitar la activación de Windows con la introducción de TSforge, un poderoso exploit desarrollado por investigadores.
Esta herramienta es capaz de activar todas las ediciones de Windows desde Windows 7, así como todos los complementos de Windows y versiones de Office desde Office 2013.
TSforge representa un hito importante en la historia de los exploits de activación de Windows, ya que marca la primera vez que se implementa con éxito un ataque directo a la Plataforma de protección de software (SPP).
Antecedentes sobre el SPP y el truco del CID
La Plataforma de protección de software (SPP) es un sistema complejo responsable de administrar licencias y estados de activación en Windows.
Implica varios componentes clave, incluidos sppsvc.exe/slsvc.exe para servicios en modo de usuario y sppobjs.dll para la validación de claves de producto.
El viaje de los investigadores comenzó con el descubrimiento del “truco CID” en 2023, que les permitió eludir la validación de la identificación de confirmación (CID).
Este truco implicó parchear el código de validación del CID en sppobjs.dll, permitiendo el uso de un CID falso para la activación.
En particular, esta activación persistió incluso después de reiniciar el servicio, lo que indica que una vez escritos, los datos de activación no se validaron nuevamente.
Para desarrollar TSforge, los investigadores tuvieron que comprender dónde y cómo se almacenaban los datos de activación.
Identificaron ubicaciones clave como C:\Windows\System32\spp\store\2.0\data.dat y tokens.dat, junto con claves de registro en HKEY_LOCAL_MACHINE\SYSTEM\WPA.
Según MASSGRAVE, estos archivos y claves forman el «almacenamiento confiable», que contiene datos de activación críticos en forma cifrada.
El equipo utilizó versiones beta de Windows filtradas para obtener información sobre el controlador spsys.sys, crucial para comprender cómo funciona la tienda confiable en versiones anteriores de Windows.
Mediante ingeniería inversa y depuración de estos componentes, descubrieron rutinas de cifrado y pudieron derivar claves RSA privadas necesarias para descifrar y volver a cifrar el almacén físico.
Con las claves privadas en la mano, los investigadores podrían activar cualquier edición de Windows sin necesidad de depuradores ni exploits del kernel. Se desarrollaron métodos para eludir la validación de ID de hardware (HWID) y el sistema de codificación PKEY2005 utilizado en versiones anteriores.
