Sistemele HP OneAgent au șters din greșeală unele certificate Microsoft esențiale pentru autentificarea în Microsoft Entra ID, ceea ce a făcut ca anumite calculatoare să piardă conexiunea cu mediile cloud ale organizațiilor. E un exemplu care arată că actualizările automate, menite să ajute, pot crea probleme serioase atunci când execută scripturi fără controale stricte.
Problema a fost semnalată de Rudy Ooms de la Patch My PC, care a urmărit incidentul până la un update silențios trimis de HP către PC-urile sale AI. Versiunea problematică a OneAgent, 1.2.50.9581, a rulat automat un pachet de curățare numit SP161710, care conținea un script install.cmd destinat eliminării urmelor unui vechi software HP, 1E Performance Assist. Din păcate, una dintre subrutinele acelui script căuta și ștergea orice certificat cu „1E” în subject, issuer sau friendly name. Aceasta este o abordare prea brutală, deoarece o simplă căutare text poate produce false positive și elimina certificate legitime.
Mai multe organizații au constatat că certificatul MS-Organization-Access, emis de Microsoft când un dispozitiv se înregistrează în Entra ID sau Intune, a fost afectat exact astfel: thumbprint-ul sau alte câmpuri conțineau „1E” și scriptul HP l-a șters. Cheia MS-Organization-Access este păstrată în magazinul de certificate Windows și este necesară pentru autentificarea în Entra ID. După ștergere, dispozitivele au pierdut imediat legătura cu Entra ID și utilizatorii nu au mai putut să se autentifice cu conturile de firmă.
Ooms a analizat jurnalele și a confirmat că instrucțiunile de actualizare ale OneAgent proveneau din infrastructura AWS IoT a HP. Impactul, spun specialiștii, este limitat: fiecare organizație primește un certificat unic, iar probabilitatea ca unul dintre aceste certificate să conțină „1E” în Subject este estimată la 9, 3%. În plus, pachetul a fost distribuit doar către PC-urile HP AI, deci numărul afectărilor e și mai redus. Totuși, efectele ar fi putut depăși Entra ID: scriptul putea șterge și alte certificate legitime folosite de alte platforme.
HP a retras update-ul și a anunțat că sprijină clienții afectați. Compania a confirmat pentru BleepingComputer că actualizarea nu mai este disponibilă și nu va mai afecta alte PC-uri AI, și investighează incidentul, cooperând cu organizațiile afectate pentru remediere.
Pentru dispozitivele afectate, recuperarea nu e complet automată: Ooms recomandă un procedeu manual pentru cei cu acces local la mașină. Primul pas este autentificarea cu contul local de administrator (LAPS), urmată de rularea unui script de curățare creat de Ooms care elimină datele de înscriere Intune pentru a permite recrearea lor, iar în final reînscrierea dispozitivului în Entra ID. O alternativă descrisă de Ooms folosește Microsoft Defender Live Response pentru remediere la distanță.
Incidentul evidențiază tensiunea dintre automatizare și controlul manual: OneAgent 1.2.50.9581 și pachetul SP161710 demonstrează cât de ușor poate fi afectată încrederea dintre Windows și Entra ID printr-un script nefiltrat. Date importante: versiunea OneAgent 1.2.50.9581, pachetul SP161710, probabilitatea de 9, 3% menționată pentru apariția șirului „1E” în Subject și pașii recomandați pentru recuperare (autentificare locală LAPS, rulare script de curățare, reînscriere în Entra ID). În plus, HP a confirmat retragerea update-ului și asistența acordată clienților, iar Ooms a identificat sursa update-ului în AWS IoT a HP.
Raportul subliniază importanța testării riguroase a scripturilor care manipulează certificate și ne reamintește că politicile „șterge tot ce seamănă” pot face mai mult rău decât bine. Pentru firmele care administrează multe dispozitive și depind de autentificarea în cloud, e recomandat să monitorizeze certificatele MS-Organization-Access și să aibă proceduri de recuperare pregătite, incluzând acces LAPS și opțiuni de remediere la distanță precum Live Response.
O versiune a OneAgent (1.2.50.9581) a cauzat pierderea certificatelor MS-Organization-Access pe anumite PC-uri HP AI. Crezi că actualizările automate ar trebui suspendate temporar pe dispozitivele critice până la verificări mai stricte?
Fii primul care comentează