HP, Windows 11 için, bazı kuruluşların Microsoft Entra ID’de oturum açması için gereken Microsoft sertifikalarını yanlışlıkla silen ve şirketlerinin bulut ortamlarıyla bağlantısını kesen bir HP OneAgent yazılım güncellemesini çekti.
Hata, Patch My PC’den Rudy Ooms tarafından keşfedildi ve bu hatanın HP tarafından AI PC cihazlarına dağıtılan sessiz bir arka plan güncellemesine dayandığı anlaşıldı.
Ooms’a göre, HP OneAgent 1.2.50.9581 sürümünü yükleyen sistemler, SP161710 adlı bir temizleme paketini otomatik olarak çalıştırıyordu. Paket, HP’nin 1E Performance Assist yazılımının tüm kalıntılarını kaldırmak için tasarlanmış bir install.cmd komut dosyası içeriyordu.
Bu komut dosyasındaki alt yordamlardan biri, konusu, vereni veya kolay adında “1E” alt dizesini içeren herhangi bir sertifikayı arayacak ve silecektir. Ancak bunun gibi bir komut dosyası, hatalı pozitif sonuçlara yol açabileceğinden ve hedeflemek üzere tasarlanmadığı sertifikaların silinmesine yol açabileceğinden risklidir.
Kaynak: BleepingComputer
Bir cihaz Microsoft Entra ID’ye (Azure AD) veya Intune’a katıldığında Microsoft, kuruluşun kiracısına özel bir “MS-Organizasyon-Erişim” sertifikası verir. Bu sertifika, Windows sertifika deposunda saklanır ve artık Entra ID’ye göre doğru şekilde kimlik doğrulaması yapılması gerekmektedir.
Ooms, kullanıcıların bir alt kümesi için “MS-Organizasyon-Erişim” sertifikalarının “1E” alt dizesini içeren bir parmak izine sahip olduğunu ve bunun da HP’nin temizleme komut dosyasının sertifikayı silmesine neden olduğunu söyledi.
Kaynak: Bilgisayarımı Yamala
Sertifikalar kaldırıldıktan sonra cihazların Entra ID ile bağlantısı anında kesilir ve artık kimlik bilgileriyle oturum açılamaz.
Ooms, “Tüm Entra/Azure AD Katılımı gitti!” diye açıklıyor. “Bununla birlikte cihazlar da sessizce buluttan düşmüştü. Windows ile Entra ID arasındaki tüm güven ortadan kaybolmuştu.”
Ooms, günlüklerden OneAgent’ın güncelleme talimatlarının doğrudan HP’nin AWS IoT altyapısından geldiğini doğruladı.
Sınırlı etki
Ooms, her kuruluşun benzersiz bir sertifika alması nedeniyle sertifikaların Konu alanında “1E” zincirini içerme ihtimalinin yalnızca %9,3 olduğunu söylüyor. Temizleme komut dosyası yalnızca HP AI bilgisayarlara gönderildiğinden, etkinin daha da küçük olması muhtemeldir.
Ayrıca, hatalı betiğin en görünür etkisi Microsoft Entra ID kimlik doğrulaması üzerinde olsa da, farklı platformlar tarafından kullanılan diğer meşru sertifikaları da kaldırmış olabilir.
HP, BleepingComputer’a yaptığı açıklamada sorunlu güncellemeyi kaldırdığını doğruladı ve etkilenen müşterilere yardımcı olduğunu belirtti.
HP, BleepingComputer’a şunları söyledi: “HP, yakın zamanda yapılan kablosuz güncellemeyle ilgili olarak bazı HP AI bilgisayarlarını etkileyen potansiyel bir sorunun farkındadır.” “Güncelleme artık mevcut değil ve daha fazla AI bilgisayarı etkilemeyecek. Sorunu araştırıyoruz ve etkilenen müşterilerle hafifletme konusunda yakın işbirliği içinde çalışıyoruz.”
Ooms, hatalı komut dosyasından etkilenen cihazların artık alana yeniden katılabilmeleri için manuel bir kurtarma işlemine ihtiyaç duyduğunu belirterek, cihaza yerel erişimi olanlar için aşağıdaki adımları paylaştı:
- Yerel yönetici (LAPS) hesabıyla oturum açın.
- Aşağıdaki adımlarda yeniden oluşturulacak olan tüm Intune kayıt verilerini kaldıran, Ooms tarafından oluşturulan bir temizleme betiği çalıştırın.
- Cihazı Entra ID’ye yeniden bağlayın.
Ooms’un makalesinde ayrıca Microsoft Defender’ın Canlı Yanıt özelliğini kullanarak bir cihazı uzaktan onarmaya yönelik ek bir yöntem de açıklanmaktadır.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.