DMA Attacke durch Windows (neu installiert)?

Jux · 19.11.2022, 21:31

Ich habe versuch mein Debian und Ubuntu zu härten. Ich verwende unter anderem auch die Parameter in Grub intel_iommu=on efi=disable_early_pci_dma .
Nun habe ich bei einer NVME immer mal wieder das Problem, dass damit eigenartige Probleme auftreten.

Das hatte ich hier beschrieben:

Zitat von: Jux am 04.11.2022, 14:31
madaidans-insecurities.github.io

Ein paar Fragezeichen hat dann aber eine Einstellung hinterlassen: "efi=disable_early_pci_dma".

Damit startet eine Samsung NVME nicht mehr bzw. nach Grub wird es blau oder an einen anderen PC erscheint die Bios-Passworteingabe und alles ist eingefroren. Ich konnte noch kurz ein "EFI stub: ERROR: exit_boot() failed!" lesen.

Eine SSD läuft mit dem selben Setup und an beiden PCs problemlos.

Zitat von: Jux am 15.11.2022, 12:29
In der Tat scheint etwas nicht zu stimmen, es scheint nicht an der Samsung NVME gelegen zu haben. Nach einem Secure Erase und einer neuen Installation von Ubuntu kann ich einwandfrei mit der Samsung NVME die Option "efi=disable_early_pci_dma" verwenden. Die Option scheint richtig zu funktionieren. So viel kann ich sagen, eine Windows Installation war noch auf der NVME und /efi wurde geteilt und ich habe auch eine Vermutung wie es dazu kam.

Jetzt hatte ich die NVME per Secure Erase gelöscht, dort Ubuntu mit allen von mir auswählten Grub-Parametern gestartet. Das System läuft problemlos.

Dann dachte ich mir, dass ich testweise Windows 10(offline) installiere, das habe ich dann gemacht.

Danach kommt es wieder zur korrumpierten /efi Partition, die verhindert, dass Ubuntu starten kann. Per Live-ISO habe ich Windows und die Dateien für Windows aus /efi gelöscht.
Danach startet das Ubuntu System wieder, allerdings scheint /boot auch nicht korrekt zu laufen, da ein paar Sha256-Summen nicht stimmten.

Code Auswählen


find /boot -type f -exec sha256sum {} + > 0.sha256
sha256sum -c 0.sha256 1.sha256

Mit efi=no_disable_early_pci_dma würde das System starten. Bis zur Windows Installation lief aber einwandfrei efi=disable_early_pci_dma.

Kann ich davon ausgehen, das irgendetwas in und um das Windows-Universum herum per DMA mein System korrumpiert, trojanisiert oder ähnliches getan hat?

Oder kann man das auch direkt vom PC(Mainboard) aus passieren?

Jux · 20.11.2022, 20:00

Ich habe heute mit zwei verschiedenen PCs und SSDs herumprobiert und extra Ubuntu und Windows jeweils nochmal installiert und so wie die NVME eingerichtet.

Es passiert auch beim klonen von einer SSD auf NVME.
Das Verhalten(Linux Installation, danach Windows Installation = DMA Problem und veränderte /boot) tritt so nur in Verbindung mit der Samsung 980 Pro NVME auf, zwei weitere SSDs zeigen dieses Verhalten nicht.