Microsoft ahora está utilizando un controlador de Windows para evitar que los usuarios cambien el navegador predeterminado para Windows 10 y Windows 11 manualmente o mediante software.
El controlador se presentó silenciosamente a usuarios de todo el mundo como parte de las actualizaciones de febrero para Windows 10 (KB5034763) y Windows 11 (KB5034765).
Fue el consultor informático Christoph Kulbich. El primero en notar el cambio. Cuando sus programas SetUserFTA y SetDefaultBrowser dejaron de funcionar repentinamente.
SetUserFTA es un programa de línea de comandos que permite a los administradores de Windows cambiar asociaciones de archivos mediante scripts de inicio de sesión y otros métodos. SetDefaultBrowser funciona de manera similar pero solo sirve para cambiar el navegador predeterminado en Windows.
A partir de Windows 8, Microsoft introdujo un nuevo sistema para asociar extensiones de archivos y protocolos URL con programas predeterminados para evitar que sean manipulados por malware y scripts maliciosos.
Este nuevo sistema asocia una extensión de archivo o protocolo URL con un hash especialmente diseñado almacenado dentro de las claves de registro de UserChoice.
Por ejemplo, la URL HTTPS de su navegador web predeterminado se puede encontrar en:
Editor del Registro de Windows versión 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
«ProgId»=»ChromeHTML»
«hash»=»N3eikAB1HhI=»
Si no se utiliza el hash correcto, Windows ignorará los valores del registro y utilizará el cliente predeterminado para este protocolo URL, que es Microsoft Edge.
perra colombiana Realizar ingeniería inversa en este algoritmo hash Crea programas SetUserFTA y SetDefaultBrowser para cambiar los programas predeterminados.
Sin embargo, con la instalación de las actualizaciones de febrero de Windows 10 y Windows 11, Kolbicz notó que estas claves de registro ahora están bloqueadas, lo que genera errores cuando se editan fuera de la configuración de Windows.
Por ejemplo, usar el Editor del Registro de Windows para modificar esta configuración genera un error que dice «El hash no se puede editar: se produjo un error al escribir el contenido del nuevo valor».
Fuente: Computadora que suena
Después de más investigaciones, Kolbicz descubrió que Microsoft introdujo un nuevo controlador de filtro de Windows (c:\windows\system32\drivers\UCPD.sys) como parte de las actualizaciones de febrero.
Fuente: Computadora que suena
Este controlador se describe como un «software de seguridad elegido por el usuario» y, cuando se carga, evita la edición directa de claves de registro asociadas con asociaciones de URL HTTP y HTTPS y el enlace a un archivo .PDF.
Las claves de registro asociadas son:
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
Vale la pena señalar que en nuestras pruebas de BleepingComputer, el controlador se lanzó en nuestros dispositivos con Windows 11 y Windows 10, pero solo bloqueó las claves de registro en nuestros dispositivos con Windows 10.
en Entrada en el blogSi bien no puedes descargar el controlador, puedes desactivarlo en el registro, explica Colbitch.
«No podemos simplemente descargar este controlador, ¡pero, por supuesto, podemos desactivarlo! Esto se puede hacer con esta línea, en un PowerShell elevado seguido de un reinicio.
New-ItemProperty -Ruta «HKLM:\SYSTEM\CurrentControlSet\Services\UCPD» -Nombre «Inicio» -Valor 4 -Tipo de propiedad DWORD -Force
Esto restaura la funcionalidad SetUserFTA, pero desafortunadamente requiere permisos administrativos y un reinicio.»
❖ Christoph Colbitsch
Sin embargo, un Entrada en el blog Gunnar Haslinger explica que la tarea programada «Velocidad UCPD» recién creada en \Microsoft\Windows\AppxDeploymentClient habilitará automáticamente el servicio nuevamente si está deshabilitado.
Fuente: Computadora que suena
Como resultado, la única forma de desactivar el controlador es desactivarlo a través del registro. Y Eliminar/deshabilitar la tarea programada.
Quizás relacionado con el cumplimiento de DMA
Colebitch cree que este cambio puede ser para cumplirlo Ley de Mercados Digitales en Europa (DMA), cuyo objetivo es garantizar una competencia leal y prevenir prácticas anticompetitivas por parte de seis grandes empresas, conocidas como “gatekeepers”.
Este en particular Guardianes de la puerta Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft tenían hasta marzo para cumplir con la nueva normativa.
En noviembre de 2023, Microsoft explicó Los cambios llegarán a Windows en marzo de 2024 para cumplir con las nuevas regulaciones DMA.
Estos cambios incluyeron nuevas políticas de navegador predeterminado para los usuarios del Espacio Económico Europeo (EEE) que obligan a Windows a usar el navegador predeterminado para que los usuarios lo usen al abrir un enlace en lugar de usar Microsoft Edge.
«En el Espacio Económico Europeo, Windows siempre utilizará la configuración de aplicación predeterminada configurada para los clientes para tipos de enlaces y archivos, incluidos los tipos de enlaces de navegador estándar de la industria (http, https)». Microsoft explicó.
«Las aplicaciones eligen cómo abrir contenido en Windows y algunas aplicaciones de Microsoft elegirán abrir contenido web en Microsoft Edge».
Sin embargo, este nuevo controlador también se lanzó en dispositivos con Windows 10 y Windows 11 en los EE. UU. que no tienen que cumplir con DMA, lo que arroja dudas sobre esta teoría.
BleepingComputer se puso en contacto con Microsoft para bloquear estas claves de registro en marzo, pero dijeron que no tenían nada que compartir en este momento.
