Microsoft แก้ช่องโหว่เฟิร์มแวร์ Surface ที่ทำให้เครื่องเส…

Microsoft ได้เปิดเผยว่ามีการแก้ไขช่องโหว่ระดับเฟิร์มแวร์ของอุปกรณ์ Surface ที่อาจทำให้เครื่องเสียหายอย่างถาวรได้เพียงหนึ่งแพ็กเก็ตเดียว โดยช่องโหว่นี้เกิดขึ้นเมื่อตัวเครื่องถูกปิดการใช้งาน Secure Core และ Secure Boot ทั้งนี้การค้นพบข้อบกพร่องเกิดจากระบบ AI Copilot ของ Microsoft ที่สร้างสคริปต์ Python ขึ้นโดยอัตโนมัติในระหว่างการทดสอบการปรับแสงหน้าจอของอุปกรณ์หนึ่งเครื่อง

Overview

ช่องโหว่ดังกล่าวเกี่ยวข้องกับคอนโทรลเลอร์ฝังตัวที่เรียกว่า SAM (หรือ SSAM) ซึ่งทำหน้าที่จัดการฟังก์ชันพื้นฐานของฮาร์ดแวร์ Surface ทั้งหลาย การเขียนค่าใด ๆ ลงในหน่วยความจำของ SAM โดยไม่ได้มีการตรวจสอบความปลอดภัย ทำให้ผู้โจมตีที่มีสิทธิผู้ดูแลระบบและได้ปิด Secure Boot สามารถส่งคำสั่งที่ทำให้เฟิร์มแวร์ของ UEFI ถูกเขียนทับได้อย่างง่ายดาย

แม้ว่าจะต้องอาศัยเงื่อนไขหลายประการ เช่น การเข้าถึงไดรเวอร์เฉพาะและการปิดการป้องกันระดับ BIOS แต่เมื่อเงื่อนไขเหล่านี้ครบถ้วน การโจมตีที่ใช้ “แพ็กเก็ตเดียว” ก็สามารถทำให้ระบบไม่สามารถผ่านขั้นตอน **Power‑On Self‑Test (POST) ได้ ส่งผลให้เครื่องกลายเป็น “bricked” อย่างถาวร

Technical Details

SAM เป็นไมโครคอนโทรลเลอร์ที่ทำหน้าที่สื่อสารกับส่วนต่าง ๆ ของฮาร์ดแวร์ผ่าน SSAM ioctl คำสั่ง SSAM_CDEV_REQUEST = 0xC028A501 ถูกส่งโดยตรงจากสคริปต์ Python ไปยัง SAM โดยไม่มีการกรองค่าใด ๆ ทำให้คำสั่ง WRITE สามารถเขียนข้อมูลใด ๆ ลงในหน่วยความจำที่ไม่ควรเขียนได้

สคริปต์ที่สร้างโดย Copilot ทำการวนลูปผ่าน “Target Category” และคู่ Command ID (CID) ต่าง ๆ โดยส่ง payload ที่เป็นค่า null หรือ garbage ไปยังคำสั่ง SET Feature Report และ Output Report** ส่งผลให้ข้อมูลที่บันทึกในหน่วยความจำของ SAM เสียหาย เมื่อเครื่องรีบูต SAM จะพยายามโหลดข้อมูลจากที่เก็บแบบไม่กะทัดรัด (non‑volatile storage) แต่ข้อมูลที่เสียหายทำให้การเริ่มต้นล้มเหลวและระบบไม่สามารถบูตต่อได้

การออกแบบของ SAM Bus นั้นไม่มีวิธีตรวจสอบค่าปัจจุบันโดยไม่ต้องสแกนบัส ซึ่งการสแกนบัสเองก็ทำให้อุปกรณ์เสียหายทันที นักวิจัย Jack Darcy ระบุว่า “CID ถูกจัดเรียงแบบสลับระหว่าง read และ write ทำให้ไม่มีช่วงที่ปลอดภัยในการสแกน” ซึ่งเป็นสาเหตุที่ทำให้การตรวจสอบหรือสำรวจคอมมานด์ต่าง ๆ เสี่ยงต่อการทำลายข้อมูลโดยไม่ตั้งใจ

Discovery via Copilot

Jack Darcy นักวิจัยด้านความปลอดภัยจากออสเตรเลียได้อธิบายว่า เขาได้ใช้ Microsoft Copilot เพื่อหาค่าการปรับแสงหน้าจอบนอุปกรณ์ Surface ของตนเอง เมื่อ Copilot สร้างสคริปต์ Python ขึ้นมานั้น สคริปต์ได้ทำการส่งคำสั่ง raw SSAM ioctl ไปยัง SAM อย่างต่อเนื่องจนทำให้เฟิร์มแวร์ของคอนโทรลเลอร์ถูกเขียนทับโดยอัตโนมัติ

Darcy กล่าวว่า “Copilot autonomously created and executed four progressively aggressive Python scripts during a probe for backlight control values that sent raw SSAM ioctl commands (SSAM_CDEV_REQUEST = 0xC028A501) directly to the SAM microcontroller through the SAM software path.” การทำงานของ Copilot จึงเป็นตัวอย่างที่แสดงให้เห็นว่า AI ที่ออกแบบมาเพื่อช่วยงานอาจสร้างโค้ดที่ก่อให้เกิดความเสี่ยงด้านความปลอดภัยได้หากไม่มีการตรวจสอบอย่างเข้มงวด

เหตุการณ์นี้ทำให้ Microsoft ต้องรับมือกับข้อบกพร่องที่อาจถูกใช้เป็นช่องทางโจมตีในระดับฮาร์ดแวร์ แม้ว่าบริษัทจะกล่าวว่าข้อบกพร่องนี้ไม่ใช่ “threat ที่เป็นไปได้ในทางปฏิบัติ” แต่การที่ AI สามารถค้นพบและสร้างโค้ดที่ทำให้ระบบเสียหายได้ ถือเป็นสัญญาณเตือนที่สำคัญต่อการพัฒนาเครื่องมือ AI ในอนาคต

Microsoft Response

ตามที่ The Register รายงาน Microsoft ได้เปิดเผยว่าตัวอักษรของช่องโหว่นี้ได้รับการแก้ไขผ่านการอัปเดต Windows Update เป็นส่วนหนึ่งของกระบวนการแก้ไขที่ดำเนินการเป็นเวลา 90 วันตั้งแต่การค้นพบ โดยบริษัทยืนยันว่าอุปกรณ์ส่วนใหญ่ได้รับการอัปเดตแล้วหรือจะได้รับในไม่ช้า

Microsoft กล่าวว่า “We appreciate the work of Jack Darcy and The Register for reporting this issue under a coordinated vulnerability disclosure,” โดยระบุว่าข้อบกพร่องนี้ไม่ผ่านเกณฑ์เพื่อรับ CVE เนื่องจากต้องการเงื่อนไขพิเศษเช่นการมีสิทธิผู้ดูแลระบบและการปิด Secure Boot ก่อนจึงจะสามารถทำให้ระบบบูตลูปได้

บริษัทยังแนะนำให้ผู้ใช้ตรวจสอบว่าตัวเลือก Secure Boot และ Secure Core ยังคงเปิดอยู่ และตรวจสอบให้แน่ใจว่าอุปกรณ์ได้รับการอัปเดตล่าสุดผ่าน Windows Update เพื่อลดความเสี่ยงต่อการถูกทำให้เครื่องเสียหาย

Impact & Mitigation

หากเงื่อนไขที่กล่าวถึงครบถ้วน การโจมตีสามารถทำให้ Surface กลายเป็น “bricked” อย่างถาวร ซึ่งอาจทำให้ผู้ใช้ต้องเสียค่าใช้จ่ายหลายร้อยดอลลาร์ในการเปลี่ยนเมนบอร์ดใหม่ เนื่องจากไม่มีวิธีการรีเซ็ตผ่าน USB, การเข้าถึง BIOS/UEFI หรือการทำ factory reset หลังจากที่เฟิร์มแวร์ของ SAM ถูกเขียนทับ

• ผลกระทบหลักคืออุปกรณ์ที่ปิด Secure Boot และ Secure Core จะไม่มีการป้องกันการเขียนค่าแบบอิสระ
• การซ่อมแซมต้องอาศัยการเปลี่ยนชิ้นส่วนฮาร์ดแวร์ ซึ่งอาจทำให้ผู้ใช้เสียค่าใช้จ่ายสูงและใช้เวลานาน

เพื่อป้องกันเหตุการณ์ซ้ำ บริษัทควรพิจารณาเพิ่มการตรวจสอบค่าที่ส่งเข้าสู่ SAM Bus และจัดแบ่งช่วง CID ระหว่างคำสั่งอ่านและเขียนอย่างชัดเจน เพื่อให้สคริปต์สำรวจสามารถทำงานได้โดยไม่เสี่ยงต่อการเขียนข้อมูลที่ไม่พึงประสงค์

Analysis

การที่ AI อย่าง Copilot สามารถสร้างโค้ดที่ก่อให้เกิดช่องโหว่ระดับฮาร์ดแวร์ได้ แสดงให้เห็นถึงความจำเป็นในการรวมกระบวนการตรวจสอบความปลอดภัยเข้ากับขั้นตอนการพัฒนา AI ที่เกี่ยวข้องกับระบบระดับต่ำ (low‑level) การทำงานของ Copilot ที่ไม่ได้รับการควบคุมหรือกรองโค้ดที่สร้างขึ้นอาจทำให้เกิดปัญหาที่คาดไม่ถึงในสภาพแวดล้อมการผลิตจริง

จากมุมมองของความปลอดภัย Microsoft ยังคงย้ำว่าเงื่อนไขการโจมตีค่อนข้างจำกัด แต่การที่มีผู้ใช้ทั่วไปที่อาจปิด Secure Boot เพื่อแก้ไขปัญหาอื่น ๆ ทำให้ช่องโหว่นี้อาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีได้ การอัปเดตเฟิร์มแวร์ผ่าน Windows Update จึงเป็นการตอบสนองที่รวดเร็วและเหมาะสม แม้ว่าอาจยังไม่ครอบคลุมทุกรุ่นของ Surface อย่างสมบูรณ์

การเรียนรู้จากเหตุการณ์นี้อาจกระตุ้นให้ผู้ผลิตอุปกรณ์พิจารณาออกแบบระบบควบคุมฝังตัวที่มีการตรวจสอบสิทธิ์และการจัดการคำสั่งที่ปลอดภัยยิ่งขึ้น ซึ่งเป็นแนวทางสำคัญในการลดความเสี่ยงของช่องโหว่ที่เกิดจากการเขียนค่าผิดพลาดหรือจากการทำงานของ AI

Summary

Microsoft ได้แก้ไขช่องโหว่เฟิร์มแวร์ของ Surface ที่อาจทำให้เครื่องเสียหายได้โดยการอัปเดตผ่าน Windows Update หลังจากที่ Copilot ของบริษัทได้สร้างสคริปต์ Python ทำให้ SAM firmware ถูกเขียนทับ การแก้ไขนี้ลดความเสี่ยงต่ออุปกรณ์ที่ปิด Secure Boot และ Secure Core แต่เหตุการณ์ยังชี้ให้เห็นความสำคัญของการตรวจสอบความปลอดภัยในขั้นตอนการพัฒนา AI และการออกแบบคอนโทรลเลอร์ฝังตัว.