Váratlan tanúsítványtörlés egy háttérben futó scripttel
A hiba forrása egy háttérben települő, csendes HP-frissítés volt. A OneAgent 1.2.50.9581-es verziója automatikusan futtatta az SP161710 nevű tisztítócsomagot, amely egy install.cmd scripttel is rendelkezett. Ennek célja az volt, hogy eltávolítsa az 1E Performance Assist maradványait, de egy alrutin túl általános keresést végzett: minden tanúsítványt letörölt, amelynek neve, kiadója vagy barátságos neve tartalmazta az “1E” karakterláncot. Emiatt előfordulhatott, hogy tökéletesen működő, szükséges tanúsítványok is áldozatul estek.
Miután egy eszköz csatlakozik az Entra ID-hoz vagy az Intune-hoz, a Microsoft létrehoz egy “MS-Organization-Access” tanúsítványt, amely az adott vállalat fiókjához kötött, és a Windows tanúsítványtárban tárolódik. Előfordult, hogy éppen ebben a tanúsítványban szerepelt az “1E” karakterlánc, így a HP scriptje letörölte az Entra ID-hez szükséges hitelesítő adatokat, és az eszközök rögtön kiestek a céges felhőből.
A hiba szerencsére csak kevés felhasználót érintett
A hibás scriptet kizárólag HP-s MI gépekre küldték ki, és mivel minden vállalatnak egyedi tanúsítványa van, a statisztikák szerint mindössze 9,3% az esélye annak, hogy a szóban forgó karakterlánc előfordul a tanúsítványban. A HP gyorsan visszavonta a problémás frissítést, és együtt dolgozik az érintett felhasználók helyreállításán.
Az érintett gépek manuális helyreállítást igényelnek: helyi rendszergazdai fiókkal kell belépni, egy Ooms segédprogrammal törölni az Intune-hozzáférést, majd újra csatlakoztatni a gépet az Entra ID-hoz. Távoli javítás is lehetséges a Microsoft Defender Live Response funkcióval.
