HP trok een update van zijn OneAgent-software voor Windows 11 in nadat bleek dat die op sommige AI-pc’s ernstige authenticatieproblemen veroorzaakte. De update verwijderde cruciale Microsoft-certificaten die door organisaties worden gebruikt om in te loggen via Microsoft Entra ID. Hierdoor verloren systemen de verbinding met hun cloudomgeving.
Rudy Ooms van Patch My PC ontdekte de fout. Hij constateerde dat de problemen ontstonden na een stille achtergrondupdate van HP. Deze update installeerde een routine die bedoeld was om restanten van oude HP-software, genaamd 1E Performance Assist, te verwijderen. Het bijgevoegde script controleerde het certificaatarchief van Windows op vermeldingen van de tekst 1E in de naam of uitgever, en verwijderde vervolgens alle certificaten waarin dat voorkwam.
Hoewel de bedoeling was om alleen verouderde HP-certificaten te wissen, bleek de aanpak te agressief. Sommige Microsoft Entra ID-certificaten bevatten toevallig dezelfde tekenreeks in hun vingerafdruk of naam. Daardoor werden deze legitieme certificaten eveneens verwijderd, met als gevolg dat de apparaten hun verbinding met Entra ID en Intune verloren. Volgens Ooms betekende dat in de praktijk dat de vertrouwensrelatie tussen Windows en de cloud volledig verdween, waardoor gebruikers niet meer konden inloggen met hun bedrijfsaccount.
Aanzienlijke impact
Het probleem is beperkt van omvang. Alleen HP’s nieuwe generatie AI-pc’s kreeg de update, en slechts een klein percentage van de organisaties gebruikt certificaten waarin de tekst 1E voorkomt. Toch is de impact voor getroffen systemen aanzienlijk, omdat herstel handmatig moet gebeuren. Beheerders moeten lokaal inloggen met een administratoraccount, het systeem opnieuw aanmelden bij Entra ID en de bijbehorende registratiegegevens herstellen. Er bestaat ook een mogelijkheid om het proces op afstand uit te voeren via Microsoft Defender.
HP heeft bevestigd dat de update is teruggetrokken en dat er geen nieuwe apparaten meer worden beïnvloed. Het bedrijf onderzoekt het incident verder en biedt ondersteuning aan klanten die problemen ondervinden. Microsoft zelf heeft nog geen aparte melding of advies uitgebracht over dit specifieke probleem.
Volgens de analyse van Patch My PC toont dit voorval aan hoe gevoelig geautomatiseerde onderhoudsscripts kunnen zijn wanneer ze zonder voldoende controle certificaten of systeemonderdelen wijzigen. In dit geval was een eenvoudige tekstmatch op “1E” voldoende om de beveiligingsketen van meerdere organisaties tijdelijk te ontwrichten.