HP update verbreekt Entra ID-vertrouwen op nieuwe AI notebooks
Een recente en stilletjes uitgerolde update van de HP OneAgent (versie 1.2.50.9581) heeft op een reeks HP Next Gen AI-modellen een kritieke beveiligingsfout veroorzaakt. De update verwijderde onbedoeld het cruciale MS-Organization-Access-certificaat, waardoor de getroffen apparaten hun verbinding en identiteit in Microsoft Entra ID (voorheen Azure AD) verloren.
Het gevolg: gebruikers konden niet langer inloggen met hun cloud-referenties en de apparaten werden gereduceerd tot lokale, niet-verbonden machines zo meldt Rudy Ooms op patchmypc.com.
Foutieve opschoonroutine sloopt cloud-identiteit
Het probleem werd veroorzaakt door een opschoonscript (install.cmd) in de HP OneAgent-update. Dit script was bedoeld om een verouderd optimalisatieprogramma (1E Performance Assist) te verwijderen. Het script was echter roekeloos geschreven en verwijderde elk certificaat waarvan de naam de substring "1E" bevatte.
Helaas bleek het MS-Organization-Access-certificaat, dat de gehele Entra ID-relatie definieert, in sommige omgevingen deze '1E'-reeks te bevatten. Zodra dit certificaat wordt verwijderd, verdwijnt het vertrouwen tussen Windows en Entra ID onmiddellijk.
Update via HP's Cloud zonder testfase
De foutieve update werd rechtstreeks gepusht via HP’s eigen AWS IoT-controleplatform, buiten de zichtbaarheid van Intune of gebruikelijke ring-gebaseerde uitrolprocessen om. Dit suggereert een gebrek aan deugdelijke testprocedures, waarbij de update in één keer naar alle apparaten is uitgerold.
HP heeft de distributie van de foutieve SoftPaq inmiddels teruggetrokken. Echter, reeds getroffen apparaten, zoals de HP EliteBook X Flip G1i en andere AI-modellen, vereisen nu handmatige reparatie. Dit omvat het inloggen met een lokaal beheerdersaccount, het uitvoeren van een opschoonscript en het handmatig opnieuw registreren van het apparaat bij Entra ID.
Meer over Security
Over Witold Kepinski
