Notebookcheck Logo

Microsoft Defender heeft misschien gelijk om Microsoft Activation Scripts (MAS) te blokkeren

Microsoft verdediger blokkeert MAS (inclusief screenshot van Powerm1nt via X)
Microsoft verdediger blokkeert MAS (inclusief screenshot van Powerm1nt via X)
Er gaan berichten rond dat Microsoft Defender het populaire gemeenschapshulpprogramma MAS blokkeert en het als nep bestempelt. Onze eigen tests tonen daarentegen aan dat het script feilloos werkt. Zijn getroffen gebruikers misschien het slachtoffer geworden van DNS-knoeierij?
Security Windows Microsoft Hack / Data Breach Server/Datacenter

Op het eerste gezicht klonk het verhaal als een klassieke IT-beveiligingsfout. Verschillende websites meldden dat Microsoft Defender plotseling was begonnen met het blokkeren van de originele "Microsoft Activation Scripts" (MAS). De foutmelding "Trojan:PowerShell/FakeMas.DA!MTB" suggereerde dat de beveiligingssoftware van Microsoft de legitieme open-source tool verwarde met een van de vele malware-exemplaren die in omloop zijn. Aangezien MAS een gemeenschapsoplossing is voor het activeren van Windows en Office in plaats van een officieel Microsoft-product, vermoedden velen meteen opzet - een achterdeurblokkade, zogezegd.

However, we examined the situation more closely using the latest Defender updates on January 9, 2026, and were unable to reproduce the error. During our tests on multiple laptops, the original script executed via the known command irm https://get.activated.win | iex was processed through without Defender producing warnings. Our test network was preconfigured to use Cloudflare's DNS server at 1.1.1.1. Furthermore, we also tested slightly older Defender versions via VM backups done during the last three days. All of them passed without any false detections. This gives room for a different perspective. If Defender remains silent for us but flags the script for other users, explicitly warning of a "FakeMas" variant, the detection logic might actually be working exactly as intended.

Wij vermoeden dat dit geen fout is aan de kant van Microsoft, maar eerder een probleem op netwerkniveau voor de getroffen gebruikers. Een plausibele verklaring zouden DNS-fouten of zelfs gerichte DNS-aanvallen (DNS spoofing) zijn. Als de domeinomzetting voor deze gebruikers is gemanipuleerd, leidt een poging om toegang te krijgen tot het zogenaamd legitieme adres hen in feite naar een server die een kwaadaardige "nepversie" levert. In dit scenario is de Defender-waarschuwing geen vals alarm, maar een legitieme reddingsmaatregel op het laatste moment. De oplossing die sommige websites voorstellen - Defender tijdelijk uitschakelen - zet de deur wagenwijd open voor malware of Trojaanse paarden.

The fact that reports seem clustered in specific regions supports this theory. ISP-specific DNS issues or local redirections could be causing users to be unwittingly redirected to malware sites. Therefore, instead of hastily accusing Microsoft of negligence, affected users should urgently check their DNS settings. The script can also be retrieved by enforcing a specific DNS server. To do this, enter the following command: iex (curl.exe -s --doh-url https://1.1.1.1/dns-query https://get.activated.win | Out-String). If this resolves the issue, a faulty DNS configuration is likely the culprit.

Please share our article, every link counts!
Mail Logo
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2026 01 > Microsoft Defender heeft misschien gelijk om Microsoft Activation Scripts (MAS) te blokkeren
Marc Herter, 2026-01-10 (Update: 2026-01-10)