Se você ou sua empresa adquiriram recentemente os novos e badalados AI PCs da HP e, de repente, os usuários não conseguem mais se autenticar nos serviços da Microsoft, você não está sozinho. Uma atualização da HP está causando problemas graves de login no Microsoft Entra ID, desconectando máquinas corporativas da nuvem.
A falha foi causada por uma atualização defeituosa do HP OneAgent, distribuída silenciosamente pela fabricante. O pacote, identificado como SP161710, acabou excluindo certificados essenciais usados pelo Microsoft Entra ID (antigo Azure AD), o que rompeu a confiança entre os dispositivos e o ambiente corporativo.
A HP já retirou o pacote problemático, mas o estrago pode ter atingido diversos parques de máquinas empresariais. Neste artigo, explicamos o que aconteceu, por que o erro ocorreu e como os administradores de sistema (SysAdmins) podem corrigir o problema.
O que causou o problema? A falha no script do HP OneAgent
O incidente foi inicialmente rastreado pelo especialista Rudy Ooms, da Patch My PC, que analisou os logs e descobriu que a causa raiz estava em uma atualização silenciosa do HP OneAgent, especificamente na versão 1.2.50.9581.
Essa atualização instalava um pacote de limpeza interno chamado SP161710, cujo objetivo era remover vestígios de softwares antigos da HP. O problema é que o script de limpeza incluído nesse pacote continha uma rotina perigosa, que acabou afetando componentes críticos do sistema.
O “azar” técnico: Por que o script excluiu o certificado errado
O script que buscava “1E”
O pacote SP161710 continha um arquivo chamado install.cmd, usado para eliminar restos do antigo HP 1E Performance Assist, um utilitário de desempenho descontinuado.
Esse script executava uma busca no repositório de certificados do Windows à procura de qualquer item que contivesse a string “1E” em seu assunto, emissor ou nome — e então os excluía automaticamente.
Em teoria, o processo removeria apenas certificados relacionados ao software legado.
Na prática, essa rotina não fazia distinção entre certificados de sistema, corporativos ou de terceiros, o que abriu caminho para um desastre.
O certificado do Entra ID foi a vítima
Nos ambientes corporativos gerenciados via Microsoft Entra ID, o Windows utiliza um certificado chamado MS-Organization-Access para estabelecer e manter a confiança entre o dispositivo e o serviço de diretório.
Em aproximadamente 9,3% dos casos analisados, segundo Ooms, esse certificado continha a sequência “1E” em sua impressão digital ou campo de assunto.
Como resultado, o script do HP OneAgent confundiu o certificado legítimo do Entra ID com lixo de software e o removeu.
A exclusão fez com que o Windows perdesse completamente a conexão de confiança com o Entra ID, quebrando o login corporativo.
Qual o impacto real para as empresas?
A exclusão do certificado MS-Organization-Access tem consequências graves. Assim que ele é removido, o dispositivo perde a capacidade de autenticar-se no Entra ID, resultando em falhas de login, perda de políticas do Intune e desconexão de toda a infraestrutura corporativa baseada em nuvem.
Segundo a descrição de Rudy Ooms:
“Todo o Entra/Azure AD Join desapareceu. Toda a confiança entre o Windows e o Entra ID desapareceu.”
Felizmente, o impacto é limitado a um subconjunto específico de dispositivos:
- AI PCs da HP que receberam o pacote SP161710;
- Máquinas cujos certificados do Entra ID contêm a sequência “1E”.
Ainda assim, para organizações com centenas de dispositivos HP implantados, a correção manual pode representar um esforço significativo.
HP reconhece a falha e retira a atualização
A HP confirmou o problema em comunicado ao portal BleepingComputer.
Segundo a nota oficial:
“A HP está ciente de um possível problema relacionado a uma atualização recente do HP OneAgent. A atualização foi removida e não está mais sendo distribuída. A empresa está trabalhando com os clientes afetados para fornecer suporte e instruções de correção.”
Embora a fabricante não tenha divulgado números exatos, a remoção do pacote SP161710 dos repositórios confirma que a distribuição foi interrompida preventivamente.
A falha serve de alerta sobre os riscos de atualizações automáticas e scripts de limpeza mal testados, especialmente em ambientes corporativos críticos.
Como corrigir os dispositivos afetados (o guia para sysadmins)
A correção não é automática, já que os dispositivos afetados perderam o vínculo com o Microsoft Entra ID e, portanto, não podem mais ser gerenciados remotamente pelo Intune.
As soluções atuais envolvem intervenção manual ou o uso de ferramentas de resposta remota, se ainda disponíveis.
Correção local (passo a passo)
De acordo com o guia publicado por Rudy Ooms, o procedimento local de recuperação é o seguinte:
- Fazer login no dispositivo usando uma conta de administrador local, como a gerenciada via LAPS.
- Executar o script de limpeza criado por Ooms, que remove as chaves de registro corrompidas e repara a configuração do Intune.
- Reconectar manualmente o dispositivo ao Microsoft Entra ID, refazendo o processo de Join corporativo.
- Validar que o novo certificado MS-Organization-Access foi emitido corretamente e que o status de gerenciamento foi restaurado.
Esse processo restaura a confiança entre o Windows e o serviço da Microsoft, permitindo que o login e as políticas voltem a funcionar normalmente.
Correção remota (se aplicável)
Em casos onde o dispositivo ainda responde a comandos via Microsoft Defender Live Response, há um método remoto para remover o certificado corrompido e forçar o reingresso no Entra ID.
Contudo, essa opção é limitada a administradores que ainda possuem controle parcial sobre o endpoint.
Conclusão: Um alerta sobre atualizações silenciosas
O incidente do HP OneAgent demonstra como um pequeno erro de script pode gerar consequências amplas em ambientes corporativos.
Embora a falha tenha afetado uma fração dos usuários, o impacto operacional é severo e reforça a importância de testes de regressão e auditoria de código em atualizações automáticas.
Para as empresas, fica o alerta: mesmo fabricantes de renome podem introduzir vulnerabilidades críticas em pacotes legítimos.
A boa notícia é que a HP reagiu rapidamente e removeu o pacote defeituoso, enquanto especialistas como Rudy Ooms publicaram guias de recuperação eficazes.
Sua organização utiliza AI PCs da HP e foi afetada por essa falha?
Compartilhe sua experiência e as medidas que adotou nos comentários abaixo — seu feedback pode ajudar outros administradores a resolver o mesmo problema.
