HP ha retirado una actualización de software HP OneAgent para Windows 11 que eliminó por error los certificados de Microsoft necesarios para que algunas organizaciones inicien sesión en Microsoft Entra ID, desconectándolos de los entornos de nube de su empresa.
El error fue descubierto por Rudy Ooms de Patch My PC, quien lo rastreó hasta una actualización silenciosa en segundo plano implementada por HP en sus dispositivos AI PC.
Según Ooms, los sistemas que instalaron la versión 1.2.50.9581 de HP OneAgent ejecutaron automáticamente un paquete de limpieza llamado SP161710. El paquete incluía un script install.cmd que fue diseñado para eliminar cualquier remanente del software 1E Performance Assist de HP.
Una de las subrutinas de este script buscaría y eliminaría cualquier certificado que contenga la subcadena «1E» en su asunto, emisor o nombre descriptivo. Sin embargo, un script como este es arriesgado, ya que podría provocar falsos positivos y eliminar certificados para los que no fue diseñado.
Fuente: BleepingComputer
Cuando un dispositivo se une a Microsoft Entra ID (Azure AD) o Intune, Microsoft emite un certificado «MS-Organization-Access» específico para el inquilino de una organización. Este certificado se almacena en el almacén de certificados de Windows y ahora es necesario para autenticarse correctamente con el ID de Entra.
Para un subconjunto de usuarios, Ooms dijo que su certificado «MS-Organization-Access» tenía una huella digital que contenía la subcadena «1E», lo que provocó que el script de limpieza de HP eliminara el certificado.
Fuente: Parchear mi PC
Una vez que se eliminaron los certificados, los dispositivos se desconectaron inmediatamente de Entra ID y ya no pudieron iniciar sesión con sus credenciales.
«¡Toda la unión de Entra/Azure AD había desaparecido!», explica Ooms. «Con él, los dispositivos habían caído silenciosamente de la nube. Toda la confianza entre Windows y Entra ID desapareció».
Ooms confirmó a partir de los registros que las instrucciones de actualización de OneAgent provenían directamente de la infraestructura AWS IoT de HP.
Impacto limitado
Ooms dice que debido a que cada organización recibe un certificado único, solo hay un 9.3% de posibilidades de que los certificados contengan la cadena «1E» en el campo Asunto. Como el script de limpieza solo se envió a las PC HP AI, es probable que el impacto sea aún menor.
Además, si bien el efecto más visible del script defectuoso fue en la autenticación de ID de Microsoft Entra, también puede haber eliminado otros certificados legítimos utilizados por diferentes plataformas.
En una declaración a BleepingComputer, HP confirmó que había retirado la actualización problemática y declaró que está ayudando a los clientes afectados.
«HP es consciente de un problema potencial que afecta a algunas PC HP AI relacionadas con una actualización inalámbrica reciente», dijo HP a BleepingComputer. «La actualización ya no está disponible y no afectará a más PC de IA. Estamos investigando el problema y trabajando en estrecha colaboración con los clientes afectados en la mitigación».
Ooms dice que los dispositivos que se ven afectados por el script defectuoso ahora requieren un proceso de recuperación manual para poder volver a unirse al dominio, y compartió los siguientes pasos para aquellos con acceso local al dispositivo:
- Inicie sesión con la cuenta de administrador local (LAPS).
- Ejecute un script de limpieza creado por Ooms que quite todos los datos de inscripción de Intune, que se volverán a crear en los pasos siguientes.
- Vuelva a unir el dispositivo a Entra ID.
El artículo de Ooms también describe un método adicional para reparar de forma remota un dispositivo mediante la función Live Response de Microsoft Defender.
Fuente: Bleeping Computer
