Microsoft introduce silenziosamente il driver Windows UCPD per bloccare hack del Registro di sistema per gli switch delle app predefinite
Microsoft ha rilasciato gli aggiornamenti del Martedì delle Patch per Windows ogni secondo martedì. Questi aggiornamenti introducono correzioni di sicurezza e a volte possono essere anche buggati.
Anche se non siamo sicuri se si tratta di un bug o di un cambiamento intenzionale, negli ultimi due aggiornamenti, per febbraio e marzo, Microsoft ha apparentemente iniziato a bloccare gli switch delle app predefinite attraverso il Registro di sistema.
Il problema è stato notato per la prima volta da Christoph Kolbicz, consulente IT. È stato portato alla sua attenzione dagli utenti che hanno notato che gli strumenti di Kolbicz, SetUserFTA e SetDefaultBrowser, non funzionavano più.
SetUserFTA e SetDefaultBrowser sono utility a riga di comando che consentono agli amministratori IT e di sistema di impostare facilmente le associazioni dei tipi di file di Windows predefiniti (FTA).
Scavando ulteriormente nella questione, Kolbicz ha capito che un nuovo driver di filtro introdotto da Microsoft, UCPD.sys, abbreviazione di User Choice Protection Driver, era responsabile dei blocchi in quanto impediva la scrittura delle chiavi del Registro di sistema UserChoice.
Nel caso vi stiate chiedendo, Microsoft ha introdotto i valori hash delle chiavi di registro “UserChoice” con Windows 8 per migliorare la sicurezza del sistema operativo. Il valore hash specifico viene utilizzato per dimostrare che il valore ProgId di UserChoice è stato impostato dall’utente stesso e non attraverso mezzi maligni.
Gunnar Haslinger, studioso di IT, ha scoperto durante la sua indagine che le seguenti chiavi di Registro sono filtrate dal nuovo driver UCPD:
- Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
- Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoiceLatest
- Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoicePrevious
- Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
- Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoiceLatest
- Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoicePrevious
- Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts.pdf\UserChoice
- Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts.pdf\UserChoiceLatest
- Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts.pdf\UserChoicePrevious
Si ipotizza che ciò sia stato fatto a seguito dei cambiamenti di conformità EU DMA che Windows sta affrontando.