Η HP έβγαλε μια ενημέρωση λογισμικού HP OneAgent για τα Windows 11, η οποία κατά λάθος διέγραψε τα πιστοποιητικά της Microsoft που απαιτούνταν για να συνδεθούν ορισμένοι οργανισμοί στο Microsoft Entra ID, αποσυνδέοντάς τους από τα περιβάλλοντα cloud της εταιρείας τους.
Το σφάλμα ανακαλύφθηκε από Patch My PC’s Rudy Ooms, ο οποίος το εντόπισε σε μια αθόρυβη ενημέρωση στο παρασκήνιο που αναπτύχθηκε από την HP στις συσκευές AI PC της.
Σύμφωνα με το Ooms, τα συστήματα που εγκατέστησαν την έκδοση 1.2.50.9581 του HP OneAgent εκτελούσαν αυτόματα ένα πακέτο εκκαθάρισης με το όνομα SP161710. Το πακέτο περιλάμβανε μια δέσμη ενεργειών install.cmd που είχε σχεδιαστεί για να αφαιρεί τυχόν υπολείμματα του λογισμικού 1E Performance Assist της HP.
Μία από τις υπορουτίνες σε αυτό το σενάριο θα αναζητούσε και θα διέγραφε οποιοδήποτε πιστοποιητικό που περιέχει τη δευτερεύουσα συμβολοσειρά “1E” στο θέμα, τον εκδότη ή το φιλικό του όνομα. Ωστόσο, ένα σενάριο όπως αυτό είναι επικίνδυνο, καθώς θα μπορούσε να οδηγήσει σε ψευδή θετικά αποτελέσματα και να διαγράψει πιστοποιητικά που δεν είχε σχεδιαστεί για να στοχεύει.
Πηγή: BleepingComputer
Όταν μια συσκευή ενώνεται με το Microsoft Entra ID (Azure AD) ή το Intune, η Microsoft εκδίδει ένα πιστοποιητικό “MS-Organization-Access” ειδικά για τον μισθωτή ενός οργανισμού. Αυτό το πιστοποιητικό είναι αποθηκευμένο στο χώρο αποθήκευσης πιστοποιητικών των Windows και τώρα απαιτείται για τον σωστό έλεγχο ταυτότητας έναντι του Entra ID.
Για ένα υποσύνολο χρηστών, η Ooms είπε ότι το πιστοποιητικό “MS-Organization-Access” είχε ένα αποτύπωμα που περιείχε τη δευτερεύουσα συμβολοσειρά “1E”, η οποία έκανε το σενάριο καθαρισμού της HP να διαγράψει το πιστοποιητικό.
Πηγή: Patch My Pc
Μόλις καταργηθούν τα πιστοποιητικά, οι συσκευές αποσυνδέονται αμέσως από το Entra ID και δεν μπορούσαν πλέον να συνδεθούν με τα διαπιστευτήριά τους.
«Ολόκληρο το Entra/Azure AD Join είχε φύγει!», εξηγεί ο Ooms. “Με αυτό, οι συσκευές είχαν πέσει σιωπηλά από το cloud. Η όλη εμπιστοσύνη μεταξύ των Windows και του Entra ID εξαφανίστηκε.”
Ο Ooms επιβεβαίωσε από τα αρχεία καταγραφής ότι οι οδηγίες ενημέρωσης του OneAgent προέρχονταν απευθείας από την υποδομή AWS IoT της HP.
Περιορισμένη επίδραση
Η Ooms λέει ότι επειδή κάθε οργανισμός λαμβάνει ένα μοναδικό πιστοποιητικό, υπάρχει μόνο 9,3% πιθανότητα τα πιστοποιητικά να περιέχουν την αλυσίδα “1E” στο πεδίο Θέμα. Καθώς το σενάριο εκκαθάρισης προωθήθηκε μόνο σε υπολογιστές HP AI, ο αντίκτυπος είναι πιθανότατα ακόμη μικρότερος.
Επιπλέον, ενώ το πιο ορατό αποτέλεσμα του ελαττωματικού σεναρίου ήταν στον έλεγχο ταυτότητας Microsoft Entra ID, μπορεί επίσης να έχει αφαιρέσει άλλα νόμιμα πιστοποιητικά που χρησιμοποιούνται από διαφορετικές πλατφόρμες.
Σε μια δήλωση προς το BleepingComputer, η HP επιβεβαίωσε ότι είχε αντλήσει την προβληματική ενημέρωση και δήλωσε ότι βοηθά τους επηρεαζόμενους πελάτες.
“Η HP έχει επίγνωση ενός πιθανού ζητήματος που επηρεάζει ορισμένους υπολογιστές τεχνητής νοημοσύνης HP που σχετίζεται με μια πρόσφατη ενημέρωση μέσω αέρα”, είπε η HP στο BleepingComputer. “Η ενημέρωση δεν είναι πλέον διαθέσιμη και δεν θα επηρεάσει περισσότερους υπολογιστές τεχνητής νοημοσύνης. Διερευνούμε το ζήτημα και συνεργαζόμαστε στενά με πελάτες που επηρεάζονται για τον μετριασμό.”
Η Ooms λέει ότι αυτές οι συσκευές που επηρεάζονται από το ελαττωματικό σενάριο απαιτούν τώρα μια διαδικασία μη αυτόματης ανάκτησης για να μπορέσουν να επανέλθουν στον τομέα και μοιράστηκε τα ακόλουθα βήματα για όσους έχουν τοπική πρόσβαση στη συσκευή:
- Συνδεθείτε με τον λογαριασμό τοπικού διαχειριστή (LAPS).
- Τρέξτε α σενάριο καθαρισμού δημιουργήθηκε από το Ooms που καταργεί όλα τα δεδομένα εγγραφής Intune, τα οποία θα δημιουργηθούν εκ νέου στα ακόλουθα βήματα.
- Συνδέστε ξανά τη συσκευή στο Entra ID.
Το άρθρο του Ooms περιγράφει επίσης μια πρόσθετη μέθοδο για την απομακρυσμένη επιδιόρθωση μιας συσκευής χρησιμοποιώντας τη δυνατότητα Live Response του Microsoft Defender.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
