HP eliminó una actualización del software HP OneAgent para Windows 11 que eliminó por error los certificados de Microsoft necesarios para que algunas organizaciones inicien sesión en Microsoft Entra ID, desconectándolas de los entornos de nube de su empresa.
El error fue descubierto por Parchear Rudy Ooms de mi PC, quien lo rastreó hasta una actualización silenciosa en segundo plano implementada por HP en sus dispositivos de PC con IA.
Según Ooms, los sistemas que instalaron HP OneAgent versión 1.2.50.9581 ejecutaron automáticamente un paquete de limpieza llamado SP161710. El paquete incluía un script install.cmd que fue diseñado para eliminar cualquier resto del software 1E Performance Assist de HP.
Una de las subrutinas de este script buscaría y eliminaría cualquier certificado que contenga la subcadena «1E» en su asunto, emisor o nombre descriptivo. Sin embargo, un script como este es riesgoso ya que podría generar falsos positivos y eliminar certificados para los que no fue diseñado.
Fuente: BleepingComputer
Cuando un dispositivo se une a Microsoft Entra ID (Azure AD) o Intune, Microsoft emite un certificado «MS-Organization-Access» específico para el inquilino de una organización. Este certificado se almacena en el almacén de certificados de Windows y ahora es necesario para autenticarse correctamente con Entra ID.
Para un subconjunto de usuarios, Ooms dijo que su certificado «MS-Organization-Access» tenía una huella digital que contenía la subcadena «1E», lo que provocó que el script de limpieza de HP eliminara el certificado.
Fuente: Parchear mi PC
Una vez que se eliminaron los certificados, los dispositivos se desconectaron inmediatamente de Entra ID y ya no pudieron iniciar sesión con sus credenciales.
«¡Todo el sistema Entra/Azure AD Join desapareció!», explica Ooms. «Con esto, los dispositivos cayeron silenciosamente de la nube. Desapareció toda la confianza entre Windows y Entra ID».
Ooms confirmó a partir de los registros que las instrucciones de actualización de OneAgent vinieron directamente de la infraestructura AWS IoT de HP.
Impacto limitado
Ooms dice que debido a que cada organización recibe un certificado único, solo hay un 9,3% de posibilidades de que los certificados contengan la cadena «1E» en el campo Asunto. Como el script de limpieza solo se envió a las PC HP AI, es probable que el impacto sea aún menor.
Además, si bien el efecto más visible del script defectuoso fue en la autenticación de Microsoft Entra ID, también puede haber eliminado otros certificados legítimos utilizados por diferentes plataformas.
En una declaración a BleepingComputer, HP confirmó que había retirado la actualización problemática y afirmó que está ayudando a los clientes afectados.
«HP es consciente de un problema potencial que afecta a algunas PC HP AI relacionado con una actualización inalámbrica reciente», dijo HP a BleepingComputer. «La actualización ya no está disponible y no afectará a más PC con IA. Estamos investigando el problema y trabajando estrechamente con los clientes afectados para mitigarlo».
Ooms dice que aquellos dispositivos que se ven afectados por el script defectuoso ahora requieren un proceso de recuperación manual para poder volver a unirse al dominio y compartió los siguientes pasos para aquellos con acceso local al dispositivo:
- Inicie sesión con la cuenta de administrador local (LAPS).
- ejecutar un guión de limpieza creado por Ooms que elimina todos los datos de inscripción de Intune, que se volverá a crear en los siguientes pasos.
- Vuelva a unir el dispositivo a Entra ID.
El artículo de Ooms también describe un método adicional para reparar de forma remota un dispositivo utilizando la función Live Response de Microsoft Defender.
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
