Kant's IT/Issue on IT&Security

TSforge, Windows 활성화 우회 도구 등장 - 모든 버전 지원

Kant Jo 2025. 3. 7. 14:30

TSforge New Tool Bypasses Windows Activation on All Versions

 

TSforge New Tool Bypasses Windows Activation on All Versions

A significant breakthrough in bypassing Windows activation has been achieved with the introduction of TSforge.

gbhackers.com

 

  • 취약점 개요
    • 도구 이름: TSforge
    • 지원 대상: Windows 7부터 최신 Windows까지 모든 버전, Office 2013 이후 모든 Office 버전
    • 취약점 위치: 소프트웨어 보호 플랫폼(SPP, Software Protection Platform)
    • 주요 기능: Windows 및 Office 활성화 상태를 우회, 모든 에디션 활성화 가능
  • 소프트웨어 보호 플랫폼(SPP) 구조
    • SPP 구성 요소
      • sppsvc.exe/slsvc.exe: 사용자 모드 서비스
      • sppobjs.dll: 제품 키 검증 기능
    • CID(Confirmation ID) 우회 기법
      • 2023년에 발견된 "CID 트릭"을 활용
      • sppobjs.dll의 CID 검증 코드를 패치하여 가짜 CID 사용 가능
      • 활성화 데이터가 한 번 기록되면 서비스 재시작 후에도 다시 검증되지 않음
  • 작동 원리
    • 핵심 데이터 위치 식별
      • C:\Windows\System32\spp\store\2.0\data.dat
      • tokens.dat 파일 및 HKEY_LOCAL_MACHINE\SYSTEM\WPA 레지스트리 키
      • 이러한 요소들은 암호화된 활성화 데이터를 저장하는 "신뢰 저장소(trusted store)" 역할을 함
    • 암호화 우회 방법
      • spsys.sys 드라이버 분석: 이전 Windows 버전의 신뢰 저장소 작동 방식을 이해
      • 암호화 루틴 역공학: 개인 RSA 키를 추출하여 활성화 데이터 복호화 및 재암호화 가능
      • HWID(하드웨어 ID) 검증 우회
      • PKEY2005 인코딩 시스템 회피
    • TSforge의 특징
      • 디버거나 커널 익스플로잇 없이 모든 Windows 에디션 활성화 가능
      • SPP 내부 작동에 대한 심도 있는 이해를 바탕으로 SPP의 복잡한 보안 체계를 우회
  • 보안 위험성
    • TSforge는 SPP의 근본적인 취약점을 활용하여 정품 인증 메커니즘을 무력화
    • 이로 인해 소프트웨어 라이선스 관리 시스템에 큰 위협이 될 수 있음
    • 악의적인 사용자는 불법 소프트웨어 배포 및 기업 환경에서 라이선스 비용 회피 가능
  • 보안 권고
    • Microsoft는 SPP의 암호화 및 검증 메커니즘을 강화해야 함
    • CID 및 HWID 검증 로직을 클라우드 기반으로 이전하거나 실시간 검증 필요
    • 소프트웨어 관리자 및 IT 보안 담당자는 비정상적인 활성화 시도를 감시하고 차단할 필요가 있음
    • 시스템 로그 및 인증 서버 로그에 대한 주기적인 검토 필요
  • 결론
    • TSforge는 DRM 시스템이 지속적으로 진화해야 한다는 교훈을 제공
    • 정품 인증 체계의 보안 강화 및 악성 활성화 시도를 탐지할 수 있는 추가적인 모니터링 도구의 필요성 증가
    • 기업과 일반 사용자 모두, 정품 소프트웨어 사용을 장려하고 비정상적인 활성화 방법을 사용하지 않도록 주의해야 함