Dezember 22, 2024

BNA-Germany

Folgen Sie den großen Nachrichten aus Deutschland, entdecken Sie ausgefallene Nachrichten aus Berlin und anderen Städten. Lesen Sie ausführliche Funktionen, die Ihnen helfen, die Denkweise der Deutschen zu verstehen.

Der neue Windows-Treiber verhindert, dass Programme Ihren Standard-Webbrowser ändern

Der neue Windows-Treiber verhindert, dass Programme Ihren Standard-Webbrowser ändern

Microsoft verwendet jetzt einen Windows-Treiber, um zu verhindern, dass Benutzer den Standardbrowser für Windows 10 und Windows 11 per Software oder durch manuelle Änderung der Registrierung ändern.

Der Treiber wurde Benutzern auf der ganzen Welt still und leise im Rahmen der Februar-Updates für Windows 10 (KB5034763) und Windows 11 (KB5034765) vorgestellt.

Es war der IT-Berater Christoph Kulbich Der Erste, der die Veränderung bemerkt Als seine Programme SetUserFTA und SetDefaultBrowser plötzlich nicht mehr funktionierten.

SetUserFTA ist ein Befehlszeilenprogramm, das es Windows-Administratoren ermöglicht, Dateizuordnungen über Anmeldeskripts und andere Methoden zu ändern. SetDefaultBrowser funktioniert ähnlich, dient jedoch nur zum Ändern des Standardbrowsers in Windows.

Beginnend mit Windows 8 führte Microsoft ein neues System ein, um Dateierweiterungen und URL-Protokolle mit Standardprogrammen zu verknüpfen, um zu verhindern, dass sie durch Malware und bösartige Skripte manipuliert werden.

Dieses neue System verknüpft eine Dateierweiterung oder ein URL-Protokoll mit einem speziell entwickelten Hash, der in den UserChoice-Registrierungsschlüsseln gespeichert ist.

Die HTTPS-URL Ihres Standard-Webbrowsers finden Sie beispielsweise unter:

Windows-Registrierungseditor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
„ProgId“=“ChromeHTML“
„hash“=“N3eikAB1HhI=“

Wenn nicht der richtige Hash verwendet wird, ignoriert Windows die Registrierungswerte und verwendet den Standardclient für dieses URL-Protokoll, nämlich Microsoft Edge.

Colbitch Reverse Engineering dieses Hashing-Algorithmus Erstellt SetUserFTA- und SetDefaultBrowser-Programme, um die Standardprogramme zu ändern.

Mit der Installation der Februar-Updates für Windows 10 und Windows 11 stellte Kolbicz jedoch fest, dass diese Registrierungsschlüssel nun gesperrt sind, was zu Fehlern führt, wenn sie außerhalb der Windows-Einstellungen bearbeitet werden.

Wenn Sie beispielsweise den Windows-Registrierungseditor verwenden, um diese Einstellungen zu ändern, wird eine Fehlermeldung angezeigt, die besagt: „Der Hash kann nicht bearbeitet werden: Beim Schreiben des Inhalts des neuen Werts ist ein Fehler aufgetreten.“

Sichere UserChoice-Registrierungsschlüssel
Quelle: Bleeping Computer

Nach weiteren Recherchen stellte Kolbicz fest, dass Microsoft im Rahmen der Februar-Updates einen neuen Windows-Filtertreiber (c:\windows\system32\drivers\UCPD.sys) eingeführt hat.

User Choice Protection-Treiber (UCPD.sys)
Quelle: Bleeping Computer

Dieser Treiber wird als „Benutzerauswahl-Sicherheitssoftware“ beschrieben und verhindert beim Laden die direkte Bearbeitung von Registrierungsschlüsseln, die mit HTTP- und HTTPS-URL-Zuordnungen und dem Link zu einer PDF-Datei verknüpft sind.

Die zugehörigen Registrierungsschlüssel sind:

HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice

Es ist erwähnenswert, dass in unseren BleepingComputer-Tests der Treiber auf unseren Windows 11- und Windows 10-Geräten veröffentlicht wurde, auf unseren Windows 10-Geräten jedoch nur Registrierungsschlüssel gesperrt wurden.

In BlogeintragSie können den Treiber zwar nicht entladen, aber in der Registrierung deaktivieren, erklärt Colbitch.

„Wir können diesen Treiber nicht einfach entladen, aber wir können ihn natürlich mit dieser einen Zeile deaktivieren – in einer erhöhten PowerShell, gefolgt von einem Neustart.“

New-ItemProperty -Path „HKLM:\SYSTEM\CurrentControlSet\Services\UCPD“ -Name „Start“ -Value 4 -Property Type DWORD -Force

Dadurch wird die SetUserFTA-Funktionalität wiederhergestellt, aber leider sind Administratorrechte und ein Neustart erforderlich.“

❖ Christoph Colbitsch

Allerdings A Blogeintrag Gunnar Haslinger erklärt, dass die neu erstellte geplante Aufgabe „UCPD-Geschwindigkeit“ unter \Microsoft\Windows\AppxDeploymentClient den Dienst automatisch wieder aktiviert, wenn er deaktiviert ist.

Geplante Mission für UCPD-Geschwindigkeit
Quelle: Bleeping Computer

Daher besteht die einzige Möglichkeit, den Treiber zu deaktivieren, darin, ihn über die Registrierung zu deaktivieren Und Löschen/deaktivieren Sie die geplante Aufgabe.

Möglicherweise hängt es mit der DMA-Konformität zusammen

Colebitch glaubt, dass diese Änderung darin bestehen könnte, ihr nachzukommen Recht der digitalen Märkte in Europa (DMA), dessen Ziel es ist, einen fairen Wettbewerb sicherzustellen und wettbewerbswidrige Praktiken von sechs großen Unternehmen, sogenannten „Gatekeepern“, zu verhindern.

Dieses besondere Torwächter Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft hatten bis März Zeit, die neuen Vorschriften einzuhalten.

Im November 2023, Microsoft erklärte Im März 2024 werden Änderungen an Windows vorgenommen, um den neuen DMA-Vorschriften zu entsprechen.

Zu diesen Änderungen gehörten neue Standardbrowserrichtlinien für Benutzer im Europäischen Wirtschaftsraum (EWR), die Windows dazu zwingen, beim Öffnen eines Links den Standardbrowser der Benutzer zu verwenden, anstatt Microsoft Edge zu verwenden.

„Im Europäischen Wirtschaftsraum verwendet Windows immer die für Clients konfigurierten Standardanwendungseinstellungen für Link- und Dateitypen, einschließlich branchenüblicher Browser-Linktypen (http, https).“ Microsoft erklärte.

„Apps entscheiden, wie Inhalte unter Windows geöffnet werden, und einige Microsoft-Apps entscheiden sich dafür, Webinhalte in Microsoft Edge zu öffnen.“

Allerdings wurde dieser neue Treiber in den USA auch auf Windows 10- und Windows 11-Geräten veröffentlicht, die nicht DMA-konform sein müssen, was Zweifel an dieser Theorie aufkommen lässt.

BleepingComputer kontaktierte Microsoft im März wegen der Sperrung dieser Registrierungsschlüssel, teilte jedoch mit, dass sie zu diesem Zeitpunkt nichts mitzuteilen hätten.

Update 07.04.24: Es wurde klargestellt, dass dies manuell durch Registrierungsänderungen erklärt werden muss.