Microsoft ora utilizza un driver Windows per impedire agli utenti di modificare manualmente o tramite software il browser predefinito per Windows 10 e Windows 11.
Il driver è stato presentato silenziosamente agli utenti di tutto il mondo come parte degli aggiornamenti di febbraio per Windows 10 (KB5034763) e Windows 11 (KB5034765).
Era il consulente IT Christoph Kulbich Il primo a notare il cambiamento Quando i suoi programmi SetUserFTA e SetDefaultBrowser hanno smesso improvvisamente di funzionare.
SetUserFTA è un programma da riga di comando che consente agli amministratori di Windows di modificare le associazioni di file tramite script di accesso e altri metodi. SetDefaultBrowser funziona in modo simile ma serve solo per modificare il browser predefinito in Windows.
A partire da Windows 8, Microsoft ha introdotto un nuovo sistema per associare estensioni di file e protocolli URL ai programmi predefiniti per impedire che vengano manomessi da malware e script dannosi.
Questo nuovo sistema associa un'estensione di file o un protocollo URL a un hash appositamente progettato memorizzato nelle chiavi di registro di UserChoice.
Ad esempio, l'URL HTTPS del tuo browser web predefinito può essere trovato in:
Editor del Registro di sistema di Windows versione 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
“ProgId”=”ChromeHTML”
“hash”=”N3eikAB1HhI=”
Se non viene utilizzato l'hash corretto, Windows ignorerà i valori del registro e utilizzerà il client predefinito per questo protocollo URL, ovvero Microsoft Edge.
Colbitch Effettua il reverse engineering di questo algoritmo di hashing Crea i programmi SetUserFTA e SetDefaultBrowser per modificare i programmi predefiniti.
Tuttavia, con l'installazione degli aggiornamenti di febbraio di Windows 10 e Windows 11, Kolbicz ha notato che queste chiavi di registro sono ora bloccate, causando errori se modificate al di fuori delle Impostazioni di Windows.
Ad esempio, l'utilizzo dell'editor del Registro di sistema di Windows per modificare queste impostazioni genera un errore che indica “Impossibile modificare l'hash: si è verificato un errore durante la scrittura del contenuto del nuovo valore”.
Fonte: computer che emette suoni
Dopo ulteriori ricerche, Kolbicz ha scoperto che Microsoft ha introdotto un nuovo driver di filtro di Windows (c:\windows\system32\drivers\UCPD.sys) come parte degli aggiornamenti di febbraio.
Fonte: computer che emette suoni
Questo driver è descritto come un “software di sicurezza scelto dall'utente” e, una volta caricato, impedisce la modifica diretta delle chiavi di registro associate alle associazioni URL HTTP e HTTPS e al collegamento a un file .PDF.
Le chiavi di registro associate sono:
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
Vale la pena notare che nei nostri test BleepingComputer, il driver è stato rilasciato sui nostri dispositivi Windows 11 e Windows 10, ma ha bloccato solo le chiavi di registro sui nostri dispositivi Windows 10.
In Post sul blogSebbene non sia possibile scaricare il driver, è possibile disabilitarlo nel registro, spiega Colbitch.
“Non possiamo semplicemente scaricare questo driver, ma possiamo ovviamente disabilitarlo! Questo può essere fatto da questa riga – in un PowerShell con privilegi elevati seguito da un riavvio.
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\UCPD” -Nome “Start” -Valore 4 -Tipo proprietà DWORD -Force
Ciò ripristina la funzionalità SetUserFTA, ma sfortunatamente richiede autorizzazioni amministrative e un riavvio.”
❖ Christoph Colbitsch
Tuttavia, l'A Post sul blog Gunnar Haslinger spiega che l'attività pianificata “Velocità UCPD” appena creata in \Microsoft\Windows\AppxDeploymentClient abiliterà nuovamente automaticamente il servizio se è disabilitato.
Fonte: computer che emette suoni
Di conseguenza, l'unico modo per disabilitare il driver è disattivarlo tramite il registro E Elimina/disattiva l'attività pianificata.
Forse correlato alla conformità DMA
Colebitch ritiene che questo cambiamento potrebbe essere quello di rispettarlo Diritto dei mercati digitali in Europa (DMA), che mira a garantire una concorrenza leale e a prevenire pratiche anticoncorrenziali da parte di sei grandi aziende, note come “gatekeepers”.
Questo in particolare Guardiani Alphabet, Amazon, Apple, ByteDance, Meta e Microsoft avevano tempo fino a marzo per conformarsi alle nuove normative.
Nel novembre 2023, Microsoft ha spiegato Modifiche in arrivo su Windows a marzo 2024 per conformarsi alle nuove normative DMA.
Queste modifiche includevano nuovi criteri del browser predefinito per gli utenti nello Spazio economico europeo (SEE) che obbligano Windows a utilizzare il browser predefinito degli utenti quando si apre un collegamento invece di utilizzare Microsoft Edge.
“Nello Spazio economico europeo, Windows utilizzerà sempre le impostazioni predefinite dell'applicazione configurate per i client per i tipi di collegamento e file, inclusi i tipi di collegamento del browser standard del settore (http, https).” Microsoft ha spiegato.
“Le app scelgono come aprire il contenuto su Windows e alcune app Microsoft sceglieranno di aprire il contenuto Web in Microsoft Edge.”
Tuttavia, questo nuovo driver è stato rilasciato anche sui dispositivi Windows 10 e Windows 11 negli Stati Uniti che non devono essere conformi al DMA, mettendo in dubbio questa teoria.
BleepingComputer ha contattato Microsoft per bloccare queste chiavi di registro a marzo, ma hanno affermato di non avere nulla da condividere in questo momento.
