В начале 2025 года на горизонте Windows-сообщества появился новый инструмент по активации системы — TSforge, который быстро завоевал популярность благодаря своей возможности активировать Windows без использования традиционных ключей и сложных взломов. Этот эксплойт стал настоящим прорывом, особенно для пользователей Windows 10, предоставляя им возможность бесплатно пользоваться расширенными обновлениями безопасности. Разработчики обещали не просто обход DRM-системы Microsoft, а метод, который не требует сложных модификаций системы вроде установки bootkit и прочих рискованных процедур. Казалось, TSforge открыл новую эпоху бесплатной и безопасной активации Windows, не причиняя вред системе. Однако спустя всего месяц после выпуска, новая сборка Windows 11 Insider Build 27802 нанесла серьёзный удар по TSforge, а именно его основному методу активации под названием ZeroCID.
Впервые за долгое время Microsoft непосредственно исправила лазейку, которую использовали активаторы, что было совершенно неожиданно, учитывая, что раньше "патчи" были случайными побочными эффектами обновлений, а не целенаправленной атакой на пиратские методы. ZeroCID использовал необычный способ обмана системы активации. Он эксплуатировал механизм кеширования внутри легитимной модели «телефонной активации», где при вызове в Microsoft система даёт подтверждающий ID (CID), сверяющийся с уникальным ID установки (IID). Операционная система хранит в защищённом формате файл с кешем, где сохранён хэш этих данных. ZeroCID подделывал такие кеш-записи, заставляя SPP (Software Protection Platform) автоматически считать, что продукт активирован.
Это решение выгодно отличалось от других методов тем, что не нужно было перехватывать или взламывать криптографические проверки, а лишь корректно «разговаривало» с системой. Патч 27802 внёс неожиданные изменения внутреннего алгоритма кеширования. Разработчики и исследователи сразу заметили, что хеши, которые раньше были стабильными, теперь изменяются при каждом запросе статуса активации. Более того, в логах появлялись события, якобы свидетельствующие о необходимости повторной проверки исходных данных, что противоречило поведению системы в предыдущих версиях. В результате система перестала доверять кешу, вынуждая её заново проводить дорогостоящие криптографические вычисления — и ZeroCID оказался полностью сломан.
Проведённое погружение в исходный код спустя некоторое время дало поразительный результат — очевидная ошибка, которую сделали в Microsoft. В новой реализации они использовали системную функцию Bcrypt для вычисления хэшей, но вместо передачи содержимого данных для хеширования, ошибочно передавали указатели на данные (их адреса) в памяти. Поскольку адреса памяти динамически меняются при каждом вызове, хэш всегда получался уникальным и бессмысленным. Это превращало кеш в набор «рандомных» значений, которые не совпадали с настоящими данными, и, соответственно, процедура проверки активации не могла пройти успешно. Этот баг просочился в стабильную ветку Windows через несколько уровней предварительного тестирования, что указывает на серьёзные проблемы с контролем качества программного обеспечения в Microsoft.
Похоже, что изменения были частью попытки рефакторинга и замены устаревших внутренних хеширующих функций на стандартные API Bcrypt, но вместо улучшения производительности это привело к параличу важной функциональности. Стоит отметить, что этот код несколько лет не менялся, что добавляет недоумения по поводу такого поспешного и плохо протестированного обновления. Для конечных пользователей баг выглядел как внезапный сбой активации, и хотя официальной реакции от Microsoft в отношении исправления этой ошибки не последовало, сообщество разработчиков быстро отреагировало, изучив возможности обхода и создания альтернативных механизмов. Одним из таких решений стала новая методика StaticCID, которая комбинирует элементы телефонной и онлайн-активации. StaticCID использует новый подход: напрямую имитируя настоящий процесс телефонной активации, она помещает в систему данные, взятые из легитимных ключей и конфигураций, что заставляет SPP генерировать правильный IID, исходя из реального лицензионного ключа.
Для получения CID используется уже существующий инструмент ActivationWs, который взаимодействует с онлайн-серверами Microsoft, подобно утилите Volume Activation Management Tool (VAMT). Таким образом достигается эффект «прокси-активации», позволяющий массово активировать системы без необходимости совершать телефонный звонок и вручную вводить ID. Этот метод доказал свою надёжность и был интегрирован в MAS (Multi Activation System). Теперь пользователи могут выбирать из трёх способов активации — ZeroCID, StaticCID и KMS4k — что значительно повысило гибкость и устойчивость системы активации в условиях постоянно меняющегося программного окружения Windows. Особое внимание уделяется StaticCID как основному варианту для Windows 10, учитывая подозрения о возможном портировании ошибки и на более старые версии ОС.
В целом ситуация с багом Windows 11 и последующим развитием событий — отличный пример того, как даже крупные и опытные организации не застрахованы от человеческих и процессных ошибок. Несомненно, Microsoft нуждается в улучшении управления качеством и более тщательном тестировании, особенно в таких критически важных компонентах, как система защиты и лицензирования ОС. Повсеместное распространение обновлений требует от разработчиков высочайшей точности, так как малейшая неточность вызывает колоссальные последствия для пользователей и всего экосистемы. Несмотря на временные трудности, сообщество исследователей и специалистов по программному обеспечению демонстрирует высокий уровень адаптивности и находчивости. Быстрая разработка и внедрение обходных решений позволили минимизировать негативное влияние сбоя и сохранить доступ к бесплатным официальным обновлениям для тысяч пользователей.
