A Microsoft agora está usando um driver do Windows para evitar que os usuários alterem o navegador padrão do Windows 10 e do Windows 11 manualmente ou por meio de software.
O driver foi apresentado discretamente a usuários em todo o mundo como parte das atualizações de fevereiro para Windows 10 (KB5034763) e Windows 11 (KB5034765).
O consultor de TI Christoph Kolbicz foi o primeiro a notar a mudança quando seus programas, SetUserFTA e SetDefaultBrowser, pararam de funcionar repentinamente.
SetUserFTA é um programa de linha de comando que permite aos administradores do Windows alterar associações de arquivos por meio de scripts de login e outros métodos. SetDefaultBrowser funciona de forma semelhante, mas serve apenas para alterar o navegador padrão no Windows.
A partir do Windows 8, a Microsoft introduziu um novo sistema para associar extensões de arquivo e protocolos de URL a programas padrão para evitar que sejam adulterados por malware e scripts maliciosos.
Este novo sistema associa uma extensão de arquivo ou protocolo URL a um hash especialmente criado, armazenado nas chaves do Registro UserChoice.
Por exemplo, o navegador padrão atribuído ao protocolo URL HTTPS é encontrado em:
Editor de registro do Windows versão 5.00
(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice)
“ProgId”=”ChromeHTML”
“Hash”=”N3eikAB1HhI=”
Se o hash correto não for usado, o Windows irá ignorar os valores do Registro e usar o programa padrão para este protocolo URL, que é o Microsoft Edge.
Kolbicz engenharia reversa deste algoritmo de hash para criar os programas SetUserFTA e SetDefaultBrowser para alterar os programas padrão.
No entanto, com as atualizações de fevereiro do Windows 10 e do Windows 11 instaladas, Kolbicz observou que essas chaves do Registro foram bloqueadas, apresentando erros quando editadas fora das configurações do Windows.
Por exemplo, usar o Editor do Registro do Windows para modificar essas configurações gera um erro informando: “Não é possível editar o Hash: Erro ao gravar o novo conteúdo do valor”.
Fonte: BleepingComputer
Após mais pesquisas, Kolbicz descobriu que a Microsoft introduziu um novo driver de filtro do Windows (c:\windows\system32\drivers\UCPD.sys) como parte das atualizações de fevereiro.
Fonte: BleepingComputer
Este driver é descrito como um “Driver de proteção de escolha do usuário” e, quando carregado, impede a edição direta das chaves do Registro associadas às associações de URL HTTP e HTTPS e à associação de arquivo .PDF.
As chaves de registro associadas são:
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice
Deve-se observar que nos testes do BleepingComputer, o driver foi implementado em nossos dispositivos Windows 11 e Windows 10, mas bloqueou apenas as chaves do Registro em nossos dispositivos Windows 10.
Em um postagem no blogKolbicz explica que embora não seja possível descarregar o driver, você pode desativá-lo no Registro.
“Não podemos simplesmente descarregar este driver, MAS podemos, é claro, desativá-lo! isso pode ser feito por esta linha única – em um PowerShell elevado seguido de uma reinicialização.
New-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\UCPD” -Nome “Iniciar” -Valor 4 -PropertyType DWORD -Force
Isso traz de volta a funcionalidade do SetUserFTA, mas infelizmente requer permissões administrativas e uma reinicialização.”
❖Christoph Kolbicz
No entanto, um postagem no blog por Gunnar Haslinger explica que uma tarefa agendada de ‘velocidade UCPD’ recém-criada em \Microsoft\Windows\AppxDeploymentClient habilitará automaticamente o serviço novamente se desabilitado.
Fonte: BleepingComputer
Por isso, a única forma de desabilitar o driver é desligá-lo através do Registro e excluir/desativar a tarefa agendada.
Possivelmente relacionado à conformidade com DMA
Kolbicz acredita que esta mudança pode ser para cumprir Lei dos Mercados Digitais da Europa (DMA), que visa garantir a concorrência leal e a prevenção de práticas anticompetitivas por parte de seis grandes empresas, conhecidas como “gatekeepers”.
Estes designados porteiros são Alphabet, Amazon, Apple, ByteDance, Meta e Microsoft, que tinham até março para cumprir as novas regulamentações.
Em novembro de 2023, Microsoft descreveu mudanças chegando ao Windows em março de 2024 para cumprir os novos regulamentos DMA.
Essas alterações incluíram novas políticas de navegador padrão para usuários no Espaço Econômico Europeu (EEE) que forçam o Windows a usar o navegador padrão dos usuários ao abrir um link em vez de usar o Microsoft Edge.
“No EEE, o Windows sempre usará as configurações padrão do aplicativo configuradas pelos clientes para tipos de links e arquivos, incluindo tipos de links de navegador padrão da indústria (http, https)” explicou a Microsoft.
“Os aplicativos escolhem como abrir o conteúdo no Windows, e alguns aplicativos da Microsoft escolherão abrir o conteúdo da web no Microsoft Edge.”
No entanto, este novo driver também foi implementado em dispositivos Windows 10 e Windows 11 nos EUA que não precisam estar em conformidade com a lei DMA, lançando dúvidas sobre esta teoria.
O BleepingComputer contatou a Microsoft sobre o bloqueio dessas chaves do Registro em março, mas eles disseram que não tinham nada para compartilhar no momento.