TSforge: el exploit que rompió toda la seguridad de Windows

El grupo de investigación MASSGRAVE ha presentado el exploit TSforge, que permite activar cualquier versión de Windows desde Windows 7, así como todas las ediciones de Microsoft Office desde Office 2013. Esta vulnerabilidad pone en peligro todo el sistema de licencias digitales que ha existido en Windows desde 2007.

Microsoft utiliza el sistema Software Protection Platform (SPP) para verificar licencias. A lo largo de los años, han surgido diferentes métodos para eludir la protección, como la emulación de servidores KMS y parches para cargadores de arranque. Hasta ahora, nadie había logrado vulnerar directamente el mecanismo de activación. La nueva vulnerabilidad permite modificar los datos de licencia sin afectar el núcleo del sistema ni activar las alertas de los mecanismos de seguridad integrados.

Los investigadores descubrieron que SPP almacena la información de licencia en archivos cifrados llamados data.dat y tokens.dat, mientras que en Windows 7 usa un almacenamiento separado. Averiguaron que, después de la activación, Windows no verifica si la información ingresada es correcta. Si se escriben ciertos datos en estos archivos, el sistema se considera activado incluso después de un reinicio.

Los primeros indicios de esta vulnerabilidad aparecieron en 2023, cuando se descubrió que era posible falsificar los códigos de confirmación de activación (CID). Esto permitió activar Windows y Office sin acceso a los servidores de Microsoft. Luego, los investigadores descubrieron que el mecanismo de verificación de autenticidad de claves no valida los datos después de su registro. El equipo de MASSGRAVE descifró las claves de activación, las comparó con versiones anteriores de Windows y logró replicar el bypass en todos los sistemas modernos.

TSforge permite activar cualquier versión de Windows sin necesidad de ingresar una clave, eludir la vinculación de la activación al hardware e incluso emular la activación KMS sin conectarse a un servidor. Como resultado, ahora es posible un escenario en el que una sola activación puede extenderse a múltiples dispositivos sin restricciones.

El principal problema para Microsoft es que este método no requiere el uso de claves "negras" conocidas, que la empresa suele bloquear. La vulnerabilidad está relacionada con características fundamentales del funcionamiento de SPP, por lo que su eliminación podría requerir una revisión completa del sistema de licencias.

Microsoft aún no ha comentado sobre la situación, pero está claro que la empresa se verá obligada a tomar medidas urgentes. Las posibles soluciones incluyen un refuerzo del control en la nube, la vinculación de licencias a cuentas de usuario o la eliminación de las verificaciones locales en favor de soluciones basadas en servidores. En cualquier caso, la lucha contra la activación ilegal de Windows entra en una nueva fase.