Microsoft está utilizando ahora un controlador de Windows para evitar que los usuarios cambien el navegador predeterminado configurado de Windows 10 y Windows 11 a través de software o modificando manualmente el Registro.

Los usuarios de Windows todavía pueden cambiar su navegador predeterminado a través de la configuración de Windows. Sin embargo, aquellos que utilizaron software para realizar los cambios ahora están bloqueados por un controlador introducido silenciosamente a los usuarios de todo el mundo como parte de las actualizaciones de Febrero para Windows 10 (KB5034763) y Windows 11 (KB5034765).

El consultor informático Christoph Kolbicz fue el primero en darse cuenta del cambio cuando sus programas, SetUserFTA y SetDefaultBrowser, dejaron de funcionar de repente.

SetUserFTA es un programa de línea de comandos que permite a los administradores de Windows cambiar las asociaciones de archivos mediante scripts de inicio de sesión y otros métodos. SetDefaultBrowser funciona de forma similar, pero sólo sirve para cambiar el navegador predeterminado de Windows.

A partir de Windows 8, Microsoft introdujo un nuevo sistema para asociar extensiones de archivo y protocolos URL con programas predeterminados para evitar que sean manipulados por malware y scripts maliciosos.

Este nuevo sistema asocia una extensión de archivo o un protocolo URL a un hash especialmente diseñado que se almacena en las claves del Registro UserChoice.

Por ejemplo, el navegador web predeterminado asignado al protocolo URL HTTPS se encuentra bajo:

Si no se utiliza el hash correcto, Windows ignorará los valores del Registro y utilizará el programa predeterminado para este protocolo de URL, que es Microsoft Edge.

Kolbicz aplicó ingeniería inversa a este algoritmo de hash para crear los programas SetUserFTA y SetDefaultBrowser para cambiar los programas predeterminados.

Sin embargo, con las actualizaciones de Febrero de Windows 10 y Windows 11 instaladas, Kolbicz observó que estas claves del Registro ahora han sido bloqueadas, dando errores cuando se modifican fuera de la Configuración de Windows.

Por ejemplo, al utilizar el Editor del Registro de Windows para modificar estos ajustes se produce un error que dice: «Cannot edit Hash: Error writing the value’s new contents» (No se puede editar Hash: Error al escribir el nuevo contenido del valor).

Tras investigar más a fondo, Kolbicz descubrió que Microsoft introdujo un nuevo controlador de filtro de Windows (c:\windows\system32\drivers\UCPD.sys) como parte de las actualizaciones de Febrero.

Este controlador se describe como «User Choice Protection Driver» (Controlador de Protección de Elección del Usuario), y, cuando se carga, impide la edición directa de las claves del Registro asociadas con las asociaciones de URL HTTP y HTTPS y la asociación de archivos .PDF.

Las claves del Registro asociadas son:

Cabe señalar que en las pruebas de la fuente de esta noticia, el controlador se desplegó en sus dispositivos con Windows 11 y Windows 10, pero solo bloqueó las claves del Registro en sus dispositivos con Windows 10.

En una entrada de blog, Kolbicz explica que, aunque no se puede descargar el controlador, sí se puede desactivar en el Registro.

Traducción:

«No podemos simplemente descargar este driver, PERO podemos por supuesto deshabilitarlo! esto se puede hacer con este one-liner – en un PowerShell elevado seguido de un reinicio.

New-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\UCPD» -Name «Start» -Value 4 -PropertyType DWORD -Force

Esto trae de vuelta la funcionalidad de SetUserFTA, pero tristemente requiere permisos administrativos y un reinicio».

❖ Christoph Kolbicz

Sin embargo, una entrada de blog de Gunnar Haslinger explica que una tarea programada recién creada ‘UCPD velocity’ en \Microsoft\Windows\AppxDeploymentClient habilitará automáticamente el servicio de nuevo si está deshabilitado.

Debido a esto, la única forma de desactivar el controlador es desactivarlo a través del Registro y delete/disable (eliminar/desactivar), la Scheduled Task (Tarea Programada).

Posiblemente esta relacionado con el cumplimiento de la DMA

Kolbicz cree que este cambio puede deberse al cumplimiento de la Ley de Mercados Digitales (DMA) europea, cuyo objetivo es garantizar la competencia leal y la prevención de prácticas anticompetitivas por parte de seis grandes compañías, conocidas como «guardianes de acceso».

Estos «guardianes de acceso» designados son Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft, que tenían hasta el pasado mes de Marzo para cumplir con la nueva normativa.

En Noviembre del 2023, Microsoft esbozó los cambios que llegarían a Windows en Marzo de 2024 para cumplir con las nuevas regulaciones de la DMA.

Estos cambios incluían nuevas políticas de navegador predeterminado para los usuarios del Espacio Económico Europeo (EEE) que obligan a Windows a utilizar el navegador predeterminado de los usuarios al abrir un enlace en lugar de utilizar Microsoft Edge.

«En el EEA, Windows siempre utilizará la configuración predeterminada de las apps configuradas por los clientes para los tipos de enlaces y archivos, incluidos los tipos de enlaces de navegador estándar de la industria (http, https)», explicó Microsoft.

«Las apps eligen cómo abrir contenido en Windows, y algunas apps de Microsoft elegirán abrir contenido web en Microsoft Edge».

Sin embargo, este nuevo controlador también se ha desplegado en dispositivos con Windows 10 y Windows 11 en Estados Unidos que no tienen que cumplir con la ley DMA, lo que arroja dudas sobre esta teoría.

Además, incluso cuando la configuración del Registro está bloqueada y el navegador predeterminado del dispositivo es Google Chrome, Windows seguía abriendo enlaces del sistema operativo en Microsoft Edge en las pruebas hechas por la fuente de esta noticia.

En 2021, Mozilla también realizó ingeniería inversa en el hash del navegador por defecto de Windows para facilitar a los usuarios la configuración de Firefox como navegador por defecto.

Algunos han especulado con que este cambio se introdujo para impedir que los navegadores de la competencia se configurasen como navegador predeterminado fuera de la Configuración de Windows. Otros dicen que podría haber sido añadido como una característica de seguridad para evitar que el malware se convierta en el navegador por defecto.

La fuente de esta noticia se puso en contacto con Microsoft sobre el bloqueo de estas claves del Registro en el mes de Marzo, pero dijeron que no tenían nada que compartir en este momento.

Actualización 4/7/24: Aclarado para explicar que manualmente significa que manualmente es a través de modificaciones del registro y se reitera que todavía se puede cambiar el navegador por defecto a través de la configuración de Windows. Se ha añadido más información sobre los navegadores bloqueados que se ignoran para los enlaces del sistema operativo en las pruebas realizadas por la fuente en EE.UU.

Fuente: BC