HPは、Windows 11向けのHP OneAgentソフトウェアアップデートを撤回しました。このアップデートは誤って、Microsoft Entra IDへのログインに必要なMicrosoft証明書を削除し、一部の組織が自社のクラウド環境から切断される原因となりました。
このバグはPatch My PCのRudy Oomsによって発見され、HPがAI PCデバイスにサイレントでバックグラウンドアップデートを配信していたことが原因であると特定されました。
Oomsによると、HP OneAgentバージョン1.2.50.9581をインストールしたシステムは、自動的にSP161710という名前のクリーンアップパッケージを実行しました。このパッケージには、HPの1E Performance Assistソフトウェアの残骸を削除するためのinstall.cmdスクリプトが含まれていました。
このスクリプトのサブルーチンの1つは、サブジェクト、発行者、またはフレンドリ名に「1E」という文字列が含まれる証明書を検索して削除するものでした。しかし、このようなスクリプトは誤検知を招き、本来対象でない証明書まで削除してしまうリスクがあります。
出典: BleepingComputer
デバイスがMicrosoft Entra ID(Azure AD)やIntuneに参加すると、Microsoftは組織のテナント専用の「MS-Organization-Access」証明書を発行します。この証明書はWindowsの証明書ストアに保存され、Entra IDへの認証に現在必須となっています。
Oomsによれば、一部のユーザーでは「MS-Organization-Access」証明書のサムプリントに「1E」という文字列が含まれていたため、HPのクリーンアップスクリプトによって証明書が削除されてしまいました。
出典: Patch My Pc
証明書が削除されると、デバイスは即座にEntra IDから切断され、資格情報でのログインができなくなります。
「Entra/Azure AD Joinが完全に消えてしまいました!」とOomsは説明します。「これにより、デバイスはサイレントにクラウドから外れてしまい、WindowsとEntra IDの間の信頼関係が消滅しました。」
Oomsは、OneAgentのアップデート指示がHPのAWS IoTインフラから直接来ていたことをログから確認しています。
影響は限定的
Oomsによると、各組織が固有の証明書を受け取るため、サブジェクトフィールドに「1E」チェーンが含まれる証明書が存在する確率は9.3%に過ぎません。また、クリーンアップスクリプトはHPのAI PCにのみ配信されたため、影響範囲はさらに小さいと考えられます。
さらに、この不具合スクリプトの最も顕著な影響はMicrosoft Entra ID認証でしたが、他のプラットフォームで使用されている正当な証明書も削除されている可能性があります。
HPはBleepingComputerへの声明で、問題のアップデートを撤回し、影響を受けた顧客への支援を行っていると認めました。
「HPは、最近のOTAアップデートに関連して一部のHP AI PCに影響を与える可能性のある問題を認識しています」とHPはBleepingComputerに語りました。「このアップデートはすでに利用できなくなっており、これ以上AI PCに影響を与えることはありません。現在、問題を調査中で、影響を受けたお客様と緊密に連携して対策に取り組んでいます。」
Oomsによれば、不具合スクリプトの影響を受けたデバイスは、ドメインへの再参加のため手動での復旧作業が必要となり、ローカルアクセスがある場合は以下の手順を共有しています:
- ローカル管理者(LAPS)アカウントでサインインします。
- Oomsが作成したクリーンアップスクリプトを実行し、すべてのIntune登録データを削除します(このデータは後続の手順で再作成されます)。
- デバイスをEntra IDに再参加させます。
Oomsの記事では、Microsoft DefenderのLive Response機能を使ってリモートでデバイスを修復する追加方法についても説明しています。
