Massgrave: scoperto un modo per attivare sempre Windows e Office. Attenzione alle conseguenze

All’inizio di dicembre 2024, il noto gruppo hacker Massgrave ha comunicato di aver scoperto un metodo infallibile per attivare Windows e Office. Il sistema funziona con qualunque versione ed edizione del sistema operativo Microsoft, installazioni server comprese. Il meccanismo permettere inoltre la ricezione degli aggiornamenti che l’azienda di Redmond distribuisce all’interno dei programmi ESU (Extended Security Updates). A metà febbraio 2025, il team ha pubblicato lo script di attivazione per Windows e Office, sottolineando che la nuova metodologia conduce a un’attivazione permanente dei software Microsoft senza utilizzare programmi di terze parti e senza modificare alcun file di sistema.

Massgrave ha utilizzato tecniche di reverse engineering per manipolare la procedura di attivazione di Windows e Office, bypassando tutti i controlli che sono di norma automaticamente espletati.

Cos’è e come funziona l’exploit Massgrave TSforge

Il 2025 segna quasi 20 anni dall’introduzione dell’attuale sistema DRM (Digital Rights Management) di Windows: Software Protection Platform (SPP). Poiché funge da gateway principale per l’attivazione del sistema sin dall’inizio dello sviluppo di Windows Vista, molti hanno individuato strategie per “ingannarlo”. Fino ad oggi, tuttavia, non è mai stato presentato un exploit in grado di aggredire direttamente SPP. Massgrave TSforge fa invece proprio questo.

Gli sviluppatori di Massgrave descrivono TSforge come l’exploit più complesso e più esteso mai implementato fino ad oggi, capace di attivare ogni versione e ogni edizione di Windows, da Windows 7 in avanti, così come ciascuna versione di Office, da Office 2013 in poi.

Interessante è la spiegazione di Massgrave sul funzionamento di SPP, un sistema molto complesso e articolato. La scoperta chiave consiste nel cosiddetto CID Trick, che ha permesso l’inserimento nel sistema SPP di ID di conferma (CID) falsificati.

Gli ID di conferma (CID) sono valori numerici utilizzati per attivare Windows tramite telefono, usando una finestra di dialogo o con il comando slmgr /atp. Poiché l’attivazione telefonica può essere eseguita senza essere connessi a nessuna rete, tutti i prodotti Microsoft hanno almeno un canale di licenza che può essere attivato tramite telefono.

Inoltre, con l’analisi approfondita del trusted store, gli hacker sono riusciti nell’impresa di comprendere la logica crittografica alla base del meccanismo di attivazione. Tutto è partito da un’interessante constatazione: il dato che SPP salva in locale per ricordarsi che il sistema è attivato, non è mai convalidato dopo l’avvenuta scrittura.

Recupero della chiave privata usata da SPP

La “ciliegina sulla torta” del lavoro svolto dal team Massgrave consiste nel recupero della chiave privata utilizzata da Microsoft per firmare e convalidare il trusted store (file tokens.dat e data.dat), che contiene informazioni sull’attivazione di Windows e Office. Normalmente, solo Microsoft può firmare questi file, garantendo che non possano essere modificati senza invalidarne l’integrità.

Massgrave, attraverso un’analisi del codice e delle funzioni crittografiche di Windows, ha identificato una falla nell’implementazione dell’algoritmo di addition-chain exponentiation usato per la gestione delle chiavi RSA. Questo ha permesso di ricostruire la chiave privata utilizzata da Microsoft per firmare il trusted store.

Con la chiave privata nelle loro mani, gli hacker hanno potuto sviluppare uno script per modificare il trusted store senza che Windows rilevi alcuna anomalia; generare firme valide per attivazioni fasulle, rendendo possibile l’attivazione di qualsiasi versione di Windows e Office; trasferire i dati di attivazione tra macchine diverse senza restrizioni.

Perché, a nostro avviso, la scoperta di Massgrave non cambia gli equilibri

Cominciamo col sottolineare l’ovvio. L’uso di strumenti come quelli sviluppati e distribuiti da Massgrave è illecito perché va a scavalcare i meccanismi di attivazione ufficiali Microsoft. E, innanzi tutto, viola i termini di utilizzo del software Microsoft.

La memoria, tuttavia, non ci inganna: a marzo 2023 un membro del personale dell’azienda di Redmond fu “pizzicato” a usare proprio i tool Massgrave per forzare l’attivazione di una copia di Windows che non ne voleva sapere di funzionare come previsto. La gaffe fu commessa durante una sessione di assistenza remota, come racconta un articolo dell’epoca.

Il metodo basato su HWID (Hardware ID), raccontano da Massgrave, funziona dal 2018 e collega la licenza all’hardware del dispositivo, garantendo un’attivazione permanente. Quello basato su KMS (Key Management System) è ormai vecchio almeno di 17 anni. Il nuovo metodo TSforge è ancora più semplice, efficace e, soprattutto, universale. Ma, a nostro avviso, non modifica lo scenario in maniera rilevante.

Perché? Perché il gioco del gatto col topo in ambito software esiste dalla notte dei tempi. Da quando gli sviluppatori di software proprietari hanno sentito l’esigenza, per finalità commerciali, di proteggere il loro lavoro e richiedere il versamento di un corrispettivo economico per l’acquisizione di una licenza.

L’attivazione di Windows o di Office non necessariamente equivale a una licenza

Già l’acquisto di un Product Key venduto a pochi spiccioli sul Web non equivale all’ottenimento di una regolare licenza (perché ad esempio potrebbe essere rubato o provenire da pacchetti di licenze a volume, che non dovrebbero essere mai oggetto di successivi trasferimenti commerciali verso soggetti non autorizzati). Figurarsi l’attivazione di Windows e Office con metodi non ufficiali.

L’attivazione di Windows corrisponde all’effettiva acquisizione di una licenza se e solo se essa è acquistata da Microsoft o da rivenditori in grado di certificare la “genuinità” di ciascuna licenza e la loro provenienza.

Attivare Windows con Massgrave o strumenti similari è pericolosissimo. In caso di accertamenti da parte delle Autorità competenti, che svolgono ispezioni sul posto o attraverso audit per verificare la legittimità del software installato nelle aziende o negli studi professionali, le conseguenze possono essere davvero pesanti sia sul piano civile che penale.

In caso di uso commerciale di software non autorizzato, le Autorità potrebbero considerare la violazione come un reato di maggiore entità, con conseguenti pene più severe.

Mettersi in regola è la strada migliore

Secondo l’articolo 171-bis della Legge 633/1941, la pirateria informatica può comportare pene che vanno da 3 mesi a 3 anni di reclusione, oltre a multe che possono arrivare fino a 25.000 euro. La sanzione può essere aggravata se l’uso o la distribuzione del software riguarda attività professionali o aziendali.

Perché usare tool come quelli proposti da Massgrave se:

• una licenza di Windows genuina al 100% ormai non costa più di 40-50 euro;
• è possibile valutare l’utilizzo di software libero in sostituzione oppure in aggiunta ai prodotti Microsoft.

E torniamo quindi a quanto sostenuto in precedenza. La scoperta e la messa a punto di un attivatore universale (Massgrave ha già aggiornato il suo script includendo l’exploit TSforge) non è a nostro avviso rilevante perché chi oggi preferisce non pagare difficilmente cambierà “registro”.

Ogni realtà aziendale che si rispetti, invece, deve effettuare un inventario delle licenze software in uso e assicurarsi di essere pienamente in regola. La scoperta di attivazioni illegali può danneggiare la reputazione dell’impresa o del professionista, con possibili effetti negativi sulla fiducia dei clienti e dei partner commerciali.