Microsoft Defender blockiert Microsoft Activation Scripts (MAS) möglicherweise zu Recht
Die Geschichte klang zunächst nach einem klassischen "Fail" in der Welt der IT-Sicherheit. Einige Nutzer meldeten gestern, dass der Microsoft Defender plötzlich das originale "Microsoft Activation Scripts" (MAS) blockiert. Die Fehlermeldung "Trojan:PowerShell/FakeMas.DA!MTB" legte nahe, dass Microsofts Schutzsoftware das legitime Open-Source-Tool fälschlicherweise für eine der vielen kursierenden Malware-Kopien hielt. Da MAS kein offizielles Microsoft-Produkt ist, sondern eine Community-Lösung zur Aktivierung von Windows und Office, vermuteten viele sofort Absicht dahinter – quasi eine Blockade durch die Hintertür.
Wir haben uns die Situation mit den aktuellsten Defender-Updates am 09. Januar 2026 jedoch genauer angesehen und konnten den Fehler nicht reproduzieren. Bei unseren Tests wurde das originale Skript auf mehreren Laptops über den bekannten Befehl irm https://get.activated.win | iex anstandslos durchgewunken, ohne dass der Defender Alarm schlug. Vorkonfigurierter DNS-Server im Testnetzwerk, war der Cloudflare-DNS-Server unter https://1.1.1.1. Zudem haben wir auch nicht ganz aktuelle Defender getestet. Alle kamen ohne fehlerhafte Erkennung. Das wirft ein neues Licht auf die Situation. Wenn der Defender bei uns schweigt, aber bei anderen Nutzern anschlägt und explizit vor einer "FakeMas"-Variante warnt, funktioniert die Erkennung womöglich genau so, wie sie soll.
Es besteht der Verdacht, dass hier kein Fehler seitens Microsoft vorliegt, sondern ein Problem auf der Netzwerkebene der betroffenen Nutzer. Eine plausible Erklärung wären DNS-Fehler oder sogar gezielte DNS-Attacken (DNS Spoofing). Wenn die Domain-Auflösung bei den betroffenen Anwendern manipuliert wurde, landen sie beim Aufruf der vermeintlich echten Adresse tatsächlich auf einem Server, der eine schädliche "Fake"-Version ausliefert. In diesem Fall wäre die Warnung des Defenders kein Fehlalarm, sondern eine korrekte Rettungsmaßnahme in letzter Sekunde. Die von einigen Seiten vorgeschlagene Lösung, Defender kurzzeitig zu deaktivieren, würde Tür und Tor für Malware oder Trojaner öffnen.
Dass sich die Berichte auf bestimmte Regionen zu konzentrieren scheinen, stützt diese These. Provider-spezifische DNS-Probleme oder lokale Umleitungen könnten dafür sorgen, dass Nutzer unwissentlich auf Malware-Schleudern umgeleitet werden. Anstatt also Microsoft vorschnell Verantwortungslosigkeit vorzuwerfen, sollten betroffene User dringend ihre DNS-Einstellungen prüfen. Das Skript lässt sich auch unter Erzwingung eines bestimmten DNS-Servers abrufen. Hierzu muss iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String) eingegeben werden. Sollte dies die Probleme beseitigen, ist von einem fehlerhaften DNS auszugehen.
Quellen
