Microsoft Defender może mieć rację blokując skrypty aktywacyjne Microsoftu (MAS)
Na pierwszy rzut oka historia ta brzmiała jak klasyczny błąd bezpieczeństwa IT. Kilka stron internetowych donosiło, że Microsoft Defender nagle zaczął blokować oryginalne "Microsoft Activation Scripts" (MAS). Komunikat o błędzie "Trojan:PowerShell/FakeMas.DA!MTB" sugerował, że oprogramowanie zabezpieczające Microsoftu pomyliło legalne narzędzie open source z jedną z wielu złośliwych kopii znajdujących się w obiegu. Ponieważ MAS jest rozwiązaniem społecznościowym służącym do aktywacji systemu Windows i pakietu Office, a nie oficjalnym produktem Microsoftu, wiele osób natychmiast podejrzewało celowe działanie - blokadę typu backdoor, że tak powiem.
However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.
Podejrzewamy, że nie jest to błąd po stronie Microsoftu, ale raczej problem na poziomie sieci dla dotkniętych użytkowników. Prawdopodobnym wyjaśnieniem mogą być błędy DNS lub nawet ukierunkowane ataki DNS (DNS spoofing). Jeśli rozdzielczość domeny została zmanipulowana dla tych użytkowników, próba uzyskania dostępu do rzekomo legalnego adresu w rzeczywistości przekierowuje ich do serwera dostarczającego złośliwą "fałszywą" wersję. W tym scenariuszu ostrzeżenie Defendera nie jest fałszywym alarmem, ale uzasadnionym środkiem ratunkowym w ostatniej chwili. Rozwiązanie sugerowane przez niektóre strony internetowe - tymczasowe wyłączenie Defendera - pozostawiłoby szeroko otwarte drzwi dla złośliwego oprogramowania lub trojanów.
The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.
Źródła
