บทความนี้นำเสนอการวิเคราะห์ทางเทคนิคเกี่ยวกับช่องโหว่ของไดรเวอร์โหมดเคอร์เนล (Kernel Mode Drivers) บนระบบปฏิบัติการ Windows โดยเน้นย้ำว่าไดรเวอร์เหล่านี้สามารถถูกเรียกใช้งานหรือโต้ตอบจากโหมดผู้ใช้ (User Mode) ได้โดยที่ไม่จำเป็นต้องมีฮาร์ดแวร์จริงที่ไดรเวอร์นั้นถูกออกแบบมาควบคุม

การค้นพบนี้มีความสำคัญอย่างยิ่งต่อการวิจัยช่องโหว่ที่เกี่ยวข้องกับไดรเวอร์ โดยเฉพาะในการประเมินระดับความเสี่ยงและความเป็นไปได้ในการถูกลงแอบ (Exploitability) ของช่องโหว่ต่างๆ ซึ่งโดยทั่วไปแล้ว ช่องโหว่เหล่านี้มักถูกมองข้ามเนื่องจากโค้ดส่วนที่มีปัญหานั้นถูกป้องกันด้วยเงื่อนไขการตรวจสอบการมีอยู่ของฮาร์ดแวร์ (Hardware-gated) ทำให้นักวิจัยคิดว่ายากที่จะเข้าถึง

แนวทางการโจมตีที่เกี่ยวข้องกับการนำไดรเวอร์ที่มีช่องโหว่มาใช้เอง (BYOVD – Bring Your Own Vulnerable Driver) เป็นอันตรายมากขึ้นเมื่อผู้โจมตีไม่ต้องการฮาร์ดแวร์เฉพาะทางในการกระตุ้นให้เกิดช่องโหว่ ซึ่งหมายความว่ามัลแวร์หรือแรนซัมแวร์สามารถใช้ประโยชน์จากไดรเวอร์ที่ลงนามด้วยใบรับรองที่ถูกต้องเพื่อหลบเลี่ยงกลไกความปลอดภัยของระบบและขอสิทธิ์ระดับเคอร์เนลได้ง่ายขึ้นกว่าที่เคยคาดการณ์ไว้

คำศัพท์เทคนิคที่น่าสนใจ

• Kernel Mode Driver – ไดรเวอร์ที่ทำงานในระดับเคอร์เนลของระบบปฏิบัติการ มีสิทธิ์ในการเข้าถึงฮาร์ดแวร์และหน่วยความจำโดยตรง
• User Mode – โหมดการทำงานของระบบปฏิบัติการที่แอปพลิเคชันทั่วไปทำงานอยู่ ซึ่งมีสิทธิ์จำกัดและไม่สามารถเข้าถึงฮาร์ดแวร์โดยตรงได้
• Hardware-gated – โค้ดหรือฟังก์ชันที่ถูกจำกัดการเข้าถึงโดยมีเงื่อนไขว่าต้องตรวจพบฮาร์ดแวร์ที่เกี่ยวข้องเท่านั้นจึงจะทำงานได้
• BYOVD (Bring Your Own Vulnerable Driver) – เทคนิคการโจมตีที่มัลแวร์แอบติดตั้งไดรเวอร์ที่มีช่องโหว่แต่มีลายเซ็นดิจิทัลถูกต้อง เพื่อใช้สิทธิ์ระดับเคอร์เนลในการหลบเลี่ยงระบบรักษาความปลอดภัย

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/making-vulnerable-drivers-exploitable.html