HP "атаковал" собственные ноутбуки. Легитимные обновления стали бэкдором для сбоя в корпоративной сети

На корпоративных ноутбуках HP с ИИ-чипами произошёл массовый сбой связи с облаком Microsoft после того, как автоматическое обновление HP OneAgent (версия 1.2.50.9581) удалило системные сертификаты, отвечающие за доверие между Windows и Entra ID. В результате устройства утратили регистрацию в облаке, а пользователи после перезагрузки могли войти только под локальной учётной записью администратора LAPS.

Проблема затронула лишь новое поколение моделей HP с пометкой AI, включая HP EliteBook X Flip G1i. На обычных устройствах OneAgent использует иную сборку и сбой не проявился. Выяснилось, что все пострадавшие компьютеры автоматически получили пакет SP161710 — так называемый SoftPaq, загруженный из облачной инфраструктуры HP на платформе AWS IoT. Именно этот пакет содержал скрипт install.cmd, который удалял устаревший компонент HP 1E Performance Assist.

Внутри сценария оказалась опасная строка PowerShell, удаляющая все сертификаты, в названии которых встречалось сочетание «1E». Логика была примитивной и не предусматривала исключений. В ряде конфигураций сертификат MS-Organization-Access, подтверждающий членство устройства в Entra ID, содержал то же сочетание символов. В результате именно он попадал под очистку. Иногда вместе с ним исчезал и сертификат Microsoft Intune MDM Device CA, но его Intune способен восстановить автоматически. А вот потеря MS-Organization-Access приводит к мгновенному разрыву доверия и исключению устройства из Entra ID — без возможности самовосстановления.

Журналы HP OneAgent подтвердили, что инициатором обновления выступил облачный сервис HP: запрос на скачивание и установку SoftPaq пришёл напрямую с домена ao8k1tq4n21z2-ats.iot.us-east-1.amazonaws.com. Сценарий выполнялся под системной учётной записью, без уведомлений пользователя или контроля со стороны Intune. Отсутствие постепенного развёртывания и тестовых колец усугубило последствия — обновление было доставлено всем устройствам одновременно.

HP оперативно изъяла неисправный пакет и прекратила его распространение, однако уже обновлённые машины восстановить можно только вручную. Для этого необходимо войти под локальным администратором, очистить остаточные записи о старом подключении в ветках реестра HKLM:\SOFTWARE\Microsoft\Enrollments и HKLM:\SOFTWARE\Microsoft\Provisioning\OMADM, удалить связанные задачи EnterpriseMgmt, затем вновь присоединить компьютер к Entra ID через «Доступ к работе или школе». Чтобы избежать зависания при повторной настройке, рекомендуется задать параметры SkipUserStatusPage и SkipDeviceStatusPage.

Если физического доступа нет, восстановление возможно через Microsoft Defender for Endpoint, используя функцию Live Response. Она позволяет удалённо инициировать локальную очистку и переустановку Windows при помощи WMI-скрипта, выполняющего команду RemoteWipe.

По сути, ошибка возникла не из-за злонамеренного кода, а из-за неосторожной логики в официальном обновлении. HP OneAgent, предназначенный для обслуживания и обновления систем, по ошибке уничтожил критические сертификаты, определяющие идентичность устройств в облаке. Потеряв MS-Organization-Access, компьютер полностью утрачивает связь с корпоративной инфраструктурой, и восстановить её можно только вручную.

Случай показал, что даже легитимные механизмы OEM-обновлений могут представлять угрозу для корпоративной безопасности, если контроль над содержимым пакетов осуществляется без многоступенчатого тестирования.