Notebookcheck Logo

Microsoft Defender pourrait avoir raison de bloquer les scripts d'activation de Microsoft (MAS)

Le défenseur de Microsoft bloque le MAS (y compris une capture d'écran de Powerm1nt via X)
Le défenseur de Microsoft bloque le MAS (y compris une capture d'écran de Powerm1nt via X)
Des rapports se répandent selon lesquels Microsoft Defender bloque l'outil communautaire populaire MAS, le signalant comme un faux. En revanche, nos propres tests démontrent que le script fonctionne parfaitement. Les utilisateurs concernés ont-ils peut-être été victimes d'une falsification du DNS ?
Security Windows Microsoft Hack / Data Breach Server/Datacenter

À première vue, l'histoire ressemble à un échec classique en matière de sécurité informatique. Plusieurs sites web ont signalé que Microsoft Defender avait soudainement commencé à bloquer les "Microsoft Activation Scripts" (MAS) originaux. Le message d'erreur, "Trojan:PowerShell/FakeMas.DA!MTB", suggérait que le logiciel de sécurité de Microsoft confondait l'outil open-source légitime avec l'une des nombreuses copies de logiciels malveillants en circulation. Étant donné que MAS est une solution communautaire d'activation de Windows et d'Office plutôt qu'un produit officiel de Microsoft, beaucoup ont immédiatement soupçonné une intention délibérée - un blocage de porte dérobée, en quelque sorte.

However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.

Nous soupçonnons qu'il ne s'agit pas d'une erreur de la part de Microsoft, mais plutôt d'un problème au niveau du réseau pour les utilisateurs concernés. Une explication plausible serait des erreurs DNS ou même des attaques DNS ciblées (DNS spoofing). Si la résolution du domaine a été manipulée pour ces utilisateurs, la tentative d'accès à l'adresse supposée légitime les redirige en fait vers un serveur délivrant une "fausse" version malveillante. Dans ce scénario, l'avertissement de Defender n'est pas un faux positif, mais une mesure de sauvetage légitime de dernière minute. La solution proposée par certains sites web - désactiver temporairement Defender - laisserait la porte grande ouverte aux logiciels malveillants ou aux chevaux de Troie.

The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.

Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Nouvelles > Archives des nouvelles > Archives des nouvelles 2026 01 > Microsoft Defender pourrait avoir raison de bloquer les scripts d'activation de Microsoft (MAS)
Marc Herter, 2026-01-10 (Update: 2026-01-10)