TSforge New Tool Bypasses Windows Activation on All Versions
TSforge New Tool Bypasses Windows Activation on All Versions
A significant breakthrough in bypassing Windows activation has been achieved with the introduction of TSforge.
gbhackers.com
- 취약점 개요
- 도구 이름: TSforge
- 지원 대상: Windows 7부터 최신 Windows까지 모든 버전, Office 2013 이후 모든 Office 버전
- 취약점 위치: 소프트웨어 보호 플랫폼(SPP, Software Protection Platform)
- 주요 기능: Windows 및 Office 활성화 상태를 우회, 모든 에디션 활성화 가능
- 소프트웨어 보호 플랫폼(SPP) 구조
- SPP 구성 요소
sppsvc.exe/slsvc.exe: 사용자 모드 서비스sppobjs.dll: 제품 키 검증 기능
- CID(Confirmation ID) 우회 기법
- 2023년에 발견된 "CID 트릭"을 활용
sppobjs.dll의 CID 검증 코드를 패치하여 가짜 CID 사용 가능- 활성화 데이터가 한 번 기록되면 서비스 재시작 후에도 다시 검증되지 않음
- SPP 구성 요소
- 작동 원리
- 핵심 데이터 위치 식별
C:\Windows\System32\spp\store\2.0\data.dattokens.dat파일 및HKEY_LOCAL_MACHINE\SYSTEM\WPA레지스트리 키- 이러한 요소들은 암호화된 활성화 데이터를 저장하는 "신뢰 저장소(trusted store)" 역할을 함
- 암호화 우회 방법
- spsys.sys 드라이버 분석: 이전 Windows 버전의 신뢰 저장소 작동 방식을 이해
- 암호화 루틴 역공학: 개인 RSA 키를 추출하여 활성화 데이터 복호화 및 재암호화 가능
- HWID(하드웨어 ID) 검증 우회
- PKEY2005 인코딩 시스템 회피
- TSforge의 특징
- 디버거나 커널 익스플로잇 없이 모든 Windows 에디션 활성화 가능
- SPP 내부 작동에 대한 심도 있는 이해를 바탕으로 SPP의 복잡한 보안 체계를 우회
- 핵심 데이터 위치 식별
- 보안 위험성
- TSforge는 SPP의 근본적인 취약점을 활용하여 정품 인증 메커니즘을 무력화
- 이로 인해 소프트웨어 라이선스 관리 시스템에 큰 위협이 될 수 있음
- 악의적인 사용자는 불법 소프트웨어 배포 및 기업 환경에서 라이선스 비용 회피 가능
- 보안 권고
- Microsoft는 SPP의 암호화 및 검증 메커니즘을 강화해야 함
- CID 및 HWID 검증 로직을 클라우드 기반으로 이전하거나 실시간 검증 필요
- 소프트웨어 관리자 및 IT 보안 담당자는 비정상적인 활성화 시도를 감시하고 차단할 필요가 있음
- 시스템 로그 및 인증 서버 로그에 대한 주기적인 검토 필요
- 결론
- TSforge는 DRM 시스템이 지속적으로 진화해야 한다는 교훈을 제공
- 정품 인증 체계의 보안 강화 및 악성 활성화 시도를 탐지할 수 있는 추가적인 모니터링 도구의 필요성 증가
- 기업과 일반 사용자 모두, 정품 소프트웨어 사용을 장려하고 비정상적인 활성화 방법을 사용하지 않도록 주의해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| SpyLend 안드로이드 악성코드, 금융 범죄 및 협박에 사용, 구글 플레이에서 10만 건 다운로드 (0) | 2025.03.07 |
|---|---|
| Google Cloud, 양자 안전 디지털 서명 추가, 미래 위협 대비 강화 (0) | 2025.03.07 |
| UAC-0212, 우크라이나 주요 인프라를 겨냥한 치명적 사이버 공격 (0) | 2025.03.07 |
| Microsoft 365를 노리는 130,000개 디바이스 봇넷의 패스워드 스프레이 공격 (0) | 2025.03.07 |
| IT가 놓친 사용자 40%를 위한 새로운 네트워킹 혁신 (0) | 2025.03.07 |