Microsoft Defender блокирует активацию Windows с помощью Microsoft Activation Scripts (MAS)?

В сети появились сообщения о том, что встроенный антивирус Windows начал блокировать популярный open-source-инструмент Microsoft Activation Scripts (MAS). Формально происходящее выглядит как часть борьбы с вредоносными подделками, однако, по словам пользователей, под ограничения якобы попал и оригинальный проект. Это вызвало обсуждения о причинах происходящего — от обычного ложного срабатывания до возможного ужесточения подхода Microsoft к нелегальной активации своих продуктов.

Проект MAS, размещённый на GitHub командой Massgrave, предназначен для активации Windows и Office с помощью сценариев. Одним из самых известных способов его использования является команда:

irm https://get.activated.win | iex

Популярность MAS сделала его привлекательной целью для злоумышленников. Ранее фиксировались случаи тайпсквоттинга — использования похожих доменов, например get.activate[.]win (без буквы d), через которые распространялись вредоносные PowerShell-скрипты. В ответ Microsoft обновила сигнатуры Microsoft Defender, начав автоматически помечать подобные сценарии как угрозы семейства FakeMas.

Ложное срабатывание или блокировка нелегальной активации Windows?

Согласно сообщениям в социальных сетях и на форумах, при запуске оригинального PowerShell-скрипта Microsoft Defender может отображать предупреждение:

Trojan:PowerShell/FakeMas.DA!MTB

Также утверждается, что файл MAS_AIO.cmd автоматически помещается в карантин, а временным решением становится переименование файлов или добавление папок в исключения «Безопасности Windows».

При этом часть пользователей склонна считать происходящее обычным ложным срабатыванием на фоне борьбы с вредоносными клонами. Проблема в том, что фильтр, предназначенный для блокировки подделок, по всей видимости из-за ошибки в чёрном списке начал срабатывать и на оригинальный домен get.activated.win.

Другие же не исключают, что такие блокировки могут быть косвенно связаны с ужесточением контроля за нелегальной активацией Windows и других продуктов Microsoft. Напомним, что недавно компания прекратила поддержку одного из официального способа активации Windows без подключения к интернету – по телефону. Активация Windows по телефону часто использовалась в схемах обхода лицензирования, так как этот метод позволяет активировать систему без прямого онлайн-подключения к серверам проверки Microsoft.

Временное отключение антивируса Microsoft Defender, по словам пользователей, позволяет запустить MAS, однако одновременно снижает уровень защиты системы. В этом и заключается парадокс ситуации: при ослаблении защиты реальные вредоносные сайты и поддельные скрипты потенциально могут остаться незаблокированными.

Редакции Comss.ru не удалось самостоятельно подтвердить наличие данной проблемы – скрипт запускался без проблем на тестовых компьютерах. Тем не менее мы хотели бы напомнить пользователям о необходимости внимательно проверять домены и источники PowerShell-скриптов, чтобы не столкнуться с реальным вредоносным ПО.

Ситуация наглядно показывает, какую роль играет AMSI (Antimalware Scan Interface), анализирующая PowerShell-скрипты в реальном времени для защиты от fileless-атак. Вместе с тем она поднимает вопрос о балансе между надёжной кибербезопасностью и риском чрезмерных блокировок. Специалисты по информационной безопасности отмечают, что подобные инциденты могут снижать доверие к встроенным средствам защиты и подталкивать пользователей к потенциально опасным решениям — отключению антивируса или массовому добавлению исключений.

На момент публикации статьи Microsoft не публиковала официальных комментариев или разъяснений по данной ситуации. При этом нельзя исключать, что корректирующее обновление сигнатур Microsoft Defender уже было выпущено или распространяется постепенно, без отдельного анонса.