สรุปสั้น

ช่องโหว่ 0-day ที่ยังไม่มีแพตช์ถูกพบในไดรเวอร์ firewall ของ Comodo Internet Security ชื่อ Inspect.sys หลังจากผู้ค้นพบไม่ได้รับการตอบกลับจากผู้ผลิตแม้พยายามแจ้งหลายครั้ง โดยช่องโหว่นี้ถูกตั้งชื่อว่า ComoDoS ค้นพบโดยนาย Marcus Hutchins ซึ่งเปิดให้ผู้โจมตีระยะไกลทำให้ระบบ Windows เป้าหมาย crash ได้ด้วย IPv6 แพ็กเก็ตผิดรูปเพียงแพ็กเก็ตเดียว พร้อมข้ามกฎ firewall ที่ตั้งค่าไว้ทั้งหมด

ณ เวลาที่เผยแพร่ ยังไม่มีแพตช์ออกมา นาย Marcus Hutchins ส่งการวิเคราะห์สาเหตุรากเหง้าฉบับเต็ม ข้อเสนอแนะการแก้ไข และ proof-of-concept (PoC) ให้ทีมความปลอดภัยของ Comodo แต่ไม่ได้รับการตอบรับใด ๆ เลย โดยช่องโหว่อยู่ใน IPv6 header parser ของ Inspect.sys

ประเด็นวิกฤตคือโค้ดไม่เคยตรวจสอบฟิลด์ payload length หากผู้โจมตีตั้งค่า IPv6 payload length ให้น้อยกว่าความยาวรวมของ extension header ตัวแปร payload_length แบบ unsigned 64-bit จะเกิด underflow และวนกลับไปเป็นค่าประมาณ 18.4 ล้านล้านล้าน (0xFFFFFFFFFFFFFFF8) และเนื่องจากไดรเวอร์ firewall ต้องแยก TCP/IP header ก่อนบังคับใช้กฎ firewall การแยกนี้จึงเกิดขึ้นไม่ว่าจะบล็อกทุกพอร์ตหรือไม่

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 4 มิถุนายน 2569 ว่านาย Marcus Hutchins เปิดเผยช่องโหว่ 0-day ComoDoS ในไดรเวอร์ Inspect.sys ของ Comodo Internet Security ที่เปิดให้ทำ Windows จอฟ้าได้จากระยะไกล และยังไม่มีแพตช์

ช่องโหว่อยู่ใน IPv6 header parser ของ Inspect.sys โดย IPv6 แพ็กเก็ตรองรับ “extension header” เสริมที่ต่อกันระหว่าง IPv6 fixed header ขนาด 40 ไบต์กับโปรโตคอลชั้นบน (TCP, UDP ฯลฯ) ตัว parser จะวนซ้ำผ่าน extension header เหล่านี้ โดยลบความยาวของแต่ละ header ออกจากตัวแปร payload_length ที่ได้มาจาก IPv6 fixed header ซึ่งผู้โจมตีควบคุมได้โดยตรง

ปัญหาวิกฤตคือโค้ดไม่เคยตรวจสอบฟิลด์ payload length หากผู้โจมตีตั้งให้น้อยกว่าความยาวรวมของ extension header ตัวแปร unsigned 64-bit จะ underflow และวนกลับเป็นค่าประมาณ 18.4 ล้านล้านล้าน เนื่องจากไดรเวอร์ firewall ต้องแยก TCP/IP header ก่อนบังคับใช้กฎ การแยกนี้จึงเกิดขึ้นไม่ว่าจะบล็อกทุกพอร์ตหรือไม่ ส่งผลให้ integer underflow กระตุ้น kernel crash (BSOD) กลายเป็น primitive สำหรับ remote denial-of-service ที่เชื่อถือได้ โดย PoC กระชับมาก เขียนด้วย Python 4 บรรทัดผ่าน Scapy

นาย Marcus Hutchins จงใจใช้ Destination Options extension header (type 60) เพราะถูกกรองที่ระดับ router น้อยที่สุด เพิ่มโอกาสที่แพ็กเก็ตอันตรายจะถึงเป้าหมายข้ามอินเทอร์เน็ต นอกจาก primitive แบบ DoS แล้ว เขายังพบเส้นทาง out-of-bounds (OOB) read และ write ที่กระตุ้นได้จากค่า underflow เดียวกัน แต่ทั้งสองมีข้อจำกัดการ exploit สูง โดย OOB-write ที่ถึงได้หลัง TCP handshake เต็มจะ truncate เป็น 32-bit เกิด 4 GB kernel pool overflow ที่แทบจะรับประกันว่า crash ทำให้ remote code execution (RCE) ไม่น่าเป็นไปได้ในขณะนี้

รายละเอียดช่องโหว่

หัวใจของ ComoDoS คือ integer underflow ใน IPv6 header parser ของ Inspect.sys ที่ขาดการตรวจสอบ payload length ทำให้ตัวแปร unsigned 64-bit วนกลับเป็นค่ามหาศาล จุดที่อันตรายเป็นพิเศษคือไดรเวอร์ firewall ต้องแยก header ก่อนบังคับใช้กฎ ทำให้แม้ผู้ใช้จะบล็อกทุกพอร์ต ก็ยังถูกโจมตีได้

ช่องโหว่นี้ถูกค้นพบระหว่างการวิจัยพื้นผิวการโจมตี BYOVD (Bring Your Own Vulnerable Driver) โดยใช้ pipeline วิเคราะห์ที่มี AI ช่วย ขณะตรวจไดรเวอร์รุ่นเก่าของ Comodo นาย Marcus Hutchins พบจุดอ่อนเชิงสถาปัตยกรรมที่กระตุ้นให้วิเคราะห์ไดรเวอร์ปัจจุบันด้วยมือ จนนำไปสู่การค้นพบนี้ และ PoC ฉบับเต็มถูกเผยแพร่สาธารณะบน GitHub แล้ว

แม้จะมีเส้นทาง OOB-read และ OOB-write ที่กระตุ้นได้จากค่า underflow เดียวกัน แต่ทั้งสองมีข้อจำกัดสูง โดย OOB-read เกิดใน WebDAV/HTTP artifact scanner ที่ truncate ค่าเป็น 16-bit จำกัดไว้ที่ 65 KB ส่วน OOB-write ที่ถึงได้หลัง handshake จะ truncate เป็น 32-bit เกิด 4 GB overflow ที่แทบจะรับประกันการ crash เนื่องจากแพ็กเก็ตเครือข่ายมาตรฐานจำกัดที่ 65 KB จึงไม่มีวิธีลด overflow ให้พอป้องกัน crash ทำให้ RCE ไม่น่าเป็นไปได้ในตอนนี้ — ช่องโหว่จึงเป็น DoS เป็นหลัก

ผลกระทบต่อไทย

Comodo Internet Security เป็นซอฟต์แวร์ความปลอดภัยฟรีที่ผู้ใช้ Windows ในไทยจำนวนหนึ่งติดตั้งใช้งาน โดยเฉพาะผู้ใช้ทั่วไปและองค์กรขนาดเล็กที่มองหาโซลูชันไม่มีค่าใช้จ่าย ทำให้ช่องโหว่ ComoDoS ที่ทำให้เครื่องจอฟ้าได้จากระยะไกลเป็นภัยต่อผู้ใช้ไทยกลุ่มนี้โดยตรง

จุดที่น่ากังวลคือการโจมตีต้องการเพียง IPv6 แพ็กเก็ตเดียวและข้ามกฎ firewall ทั้งหมด ทำให้แม้ผู้ใช้ไทยจะตั้งค่าความปลอดภัยเข้มงวดก็ยังถูกทำให้ crash ได้ และเนื่องจากยังไม่มีแพตช์ ความเสี่ยงจึงเปิดอยู่ ยิ่ง PoC เผยแพร่สาธารณะแล้ว โอกาสถูกนำไปใช้ก็เพิ่มขึ้น

แม้ผลกระทบหลักจะเป็น DoS (เครื่อง crash) ไม่ใช่การยึดเครื่อง แต่สำหรับองค์กรไทยที่ใช้ Comodo บนระบบสำคัญ การถูกทำให้ระบบล่มซ้ำ ๆ ก็กระทบความต่อเนื่องทางธุรกิจ จึงควรพิจารณาทางเลือกอื่นหรือมาตรการบรรเทาชั่วคราว

คำแนะนำ

  1. เฝ้าระวังทราฟฟิก IPv6 ผิดปกติ — โดยเฉพาะ IPv6 extension header ที่ผิดรูป เป็นมาตรการบรรเทาชั่วคราวจนกว่าจะมีแพตช์
  2. บล็อก IPv6 extension header ผิดรูปที่ระดับเครือข่าย — ใช้ network-level control กรองแพ็กเก็ตที่มี payload length ผิดปกติ
  3. พิจารณาทางเลือกชั่วคราว — เนื่องจาก Comodo ยังไม่ตอบสนองและไม่มีแพตช์ องค์กรที่พึ่งระบบสำคัญอาจพิจารณา firewall/AV ทางเลือก
  4. ปิด IPv6 หากไม่จำเป็น — บนระบบที่ไม่ได้ใช้ IPv6 การปิดช่วยลดพื้นผิวการโจมตี
  5. ติดตามประกาศแพตช์จาก Comodo — อัปเดตทันทีเมื่อมีแพตช์ออก
  6. ตรวจสอบการใช้ไดรเวอร์ Inspect.sys — ในองค์กรที่ใช้ Comodo เพื่อประเมินความเสี่ยง

แหล่งอ้างอิง