Atualizações recentes do Microsoft Defender passaram a identificar e bloquear o utilitário open‑source Microsoft Activation Scripts (MAS), hospedado por Massgrave no GitHub, enquanto tentam impedir variantes fraudulentas usadas por atacantes.
O que ocorreu
Usuários relataram alertas do tipo Trojan:PowerShell/FakeMas.DA!MTB ao executar comandos legítimos que buscavam o domínio oficial (get.activated.win). A ação de bloqueio parece decorrer de uma regra que visa domínios typosquatting e variantes maliciosas, mas que agora estaria afetando o domínio legítimo ou as entregas oficiais do MAS.
Vetor e mecanismos
A prevenção está ligada à integração do Defender com AMSI, que analisa scripts PowerShell em tempo real. Ataques recentes usaram domínios typosquatted (por exemplo, get.activate.win) para distribuir payloads maliciosos, o que levou a Microsoft a ajustar assinaturas e detecções. A consequência foi um impacto colateral: Ferramentas legítimas que têm fluxos de execução semelhantes passaram a ser sinalizadas.
Impacto para operadores e desenvolvedores
- Usuários do MAS legítimo observaram quarentenas de arquivos (por exemplo MAS_AIO.cmd) e notificações que recomendavam bloquear ou conectar-se com a Microsoft;
- Alguns contornos adotados pelos usuários incluem renomear arquivos, aplicar exclusões de pasta no Windows Security ou submeter falsas‑positivas via o portal da Microsoft;
- Desativar temporariamente a proteção protege contra o falso‑positivo, mas expõe sistemas a ameaças reais que possam usar técnicas semelhantes.
Recomendações práticas
Até que a Microsoft publique uma correção ou ajuste nas regras:
- Avalie a real necessidade de executar scripts de fontes externas e, quando inevitável, faça fetchs em ambientes controlados (máquinas isoladas/VMs);
- Submeta amostras consideradas legítimas ao canal de falsas‑positivas da Microsoft para aceleração da análise;
- Evite instruir usuários finais a desabilitar proteções em estações de produção; prefira exclusões pontuais e temporárias sob controle de equipe de segurança;
- Mantenha registros e capturas de alertas para apoiar investigações e acelerar rollback de ações caso seja identificada uma correção oficial.
Limitações e estado atual
As matérias consultadas não indicam, até a data das publicações, um patch oficial já liberado pela Microsoft especificamente para esse falso‑positivo. O time do MAS confirmaram o problema em canais públicos. Não há evidência pública de que a detecção seja usada maliciosamente para ocultar ataques, mas a situação aumenta o custo operacional e o risco de usuários adotarem medidas inseguras.
Implicações para times de segurança
Gestores de segurança devem priorizar processos de triagem para falsas‑positivas e reforçar comunicação interna: instruções para desabilitar proteções temporariamente devem ser tratadas como último recurso. Para equipes que dependem de utilitários open‑source, a recomendação é preparar procedimentos de verificação e submissão de amostras aos fornecedores de AV para reduzir impacto na cadeia de desenvolvimento e operações.
Fonte: reportagens técnicas e relatos de comunidade sobre detecções do Defender.