Microsoft Defender potrebbe avere ragione a bloccare Microsoft Activation Scripts (MAS)

Microsoft defender blocca MAS (incluso lo screenshot da Powerm1nt via X)

Si sta diffondendo la notizia che Microsoft Defender sta bloccando il popolare strumento comunitario MAS, segnalandolo come falso. Al contrario, i nostri test dimostrano che lo script funziona perfettamente. Gli utenti colpiti sono forse caduti vittima di una manomissione del DNS?

Marc Herter (traduzione a cura di Ninh Duy), Pubblicato 01/10/2026 🇺🇸 🇩🇪 ...

A prima vista, la storia sembrava un classico fallimento della sicurezza informatica. Diversi siti web hanno riportato che Microsoft Defender aveva improvvisamente iniziato a bloccare gli originali "Microsoft Activation Scripts" (MAS). Il messaggio di errore, "Trojan:PowerShell/FakeMas.DA!MTB", suggeriva che il software di sicurezza di Microsoft stava scambiando lo strumento open-source legittimo con una delle tante copie di malware in circolazione. Poiché MAS è una soluzione comunitaria per l'attivazione di Windows e Office, piuttosto che un prodotto ufficiale di Microsoft, molti hanno immediatamente sospettato un intento deliberato: un blocco backdoor, per così dire.

However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.

Sospettiamo che non si tratti di un errore da parte di Microsoft, ma piuttosto di un problema a livello di rete per gli utenti interessati. Una spiegazione plausibile potrebbe essere rappresentata da errori DNS o addirittura da attacchi DNS mirati (spoofing DNS). Se la risoluzione del dominio è stata manipolata per questi utenti, il tentativo di accedere all'indirizzo apparentemente legittimo li dirotta in realtà verso un server che fornisce una versione "falsa" dannosa. In questo scenario, l'avviso di Defender non è un falso positivo, ma una legittima misura di salvataggio dell'ultimo minuto. La soluzione suggerita da alcuni siti web - disabilitare temporaneamente Defender - lascerebbe la porta aperta a malware o Trojan.

The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.