Trend Micro (Apex One) blockt URLs – von Windows-Update (13. Feb. 2026)

Kurze Information für Leute aus der Leserschaft, die Sicherheitssoftware von Trend Micro einsetzen. Ein Leser hat mich gerade informiert, dass bei seinen Nutzern / Kunden derzeit Windows Updates durch Trend Micro blockiert werden.

Eine Lesermeldung zum 13. Feb. 2026

Ein ungenannt bleiben wollender Leser schrieb mir gerade per E-Mail (danke) folgendes: "Seit heute morgen gibt's bei uns massenhaft Meldungen von Trend Micro (Apex One) über geblockte URLs. Das sieht danach aus, also würden Microsoft-Update-URLs das auslösen." Der Blog-Leser hat mir folgenden Screenshot geschickt – die Apex One-Sicherheitslösung blockiert IP-Adressen als gefährlich.

Nachfolgender Screenshot, den mir der Leser bereitgestellt hat, zeigt die blockierten URLs als Ausschnitte.

An obigem Screenshot kann ich nicht erkennen, dass die URLs auf Microsofts Update Server zeigen – aber ich gehe davon aus, dass der Leser das evaluiert hat. Der Leser schrieb noch: "Ob da jetzt der CDN-Hoster schuld ist, oder Trend Micro, wage ich noch nicht zu beurteilen".

Mehr Betroffene gemeldet

Der Blog-Leser schrieb mir in seiner E-Mail, dass er seinen Dienstleister, der das Unternehmen betreut, kontaktiert habe. Der Dienstleister hat dem Leser daraufhin mitgeteilt, dass dessen Unternehmen nicht der einzige Kunde in ihrem Bereich sei, der sich heute mit dieser Problematik gemeldet habe.

Ergänzung: Aus der Leserschaft gab es mehrere Hinweise auf den Microsoft Learn Q&A-Forenpost Observe multiple outbound traffic with Microsoft domain vom 12. Februar 2026. Der Betroffene schreibt: "Wir haben mehrere URL-Anfragen an einen meiner Windows-Server mit Microsoft-Domäne festgestellt, die von Trend Micro Threat Intelligence als bösartig identifiziert wurden." Dort werden die kompletten URLs, die bemängelt werden, aufgeführt. Nachfolgend eine solche URL.

*http://194.36.32.207/filestreamingservice/files/1320e66c-29d2-4d7c-9b43-7f50d68ae3bb?P1=1770877599&P2=404&P3=2&P4=NvbCqRcIUfO9RgoIuc8qHpl%2btc17xVKIr%2be2ywd7EUCXwpjIGJzns0L%2b1hd7aZjsQX6xPeZunF6cB9fX3HWduQ%3d%3d&cacheHostOrigin=4.tlu.dl.delivery.mp.microsoft.com

Es gibt dort folgenden Lösungsvorschlag für einen Workaround. Man soll den Download-Mode auf "Simple (ID 99)" per Registrierungseintrag reduzieren.

To resolve the alerts and ensure your server only connects to trusted sources, you must restrict the Download Mode to 'Simple' (ID 99), which forces the use of HTTP/HTTPS directly from Microsoft's CDN and disables all peer-to-peer functionality. You can enforce this configuration via Group Policy at Computer Configuration\Administrative Templates\Windows Components\Delivery Optimization\Download Mode by selecting 'Simple (99)'. Alternatively, for a precise registry enforcement, create or modify the DWORD value DODownloadMode to 99 (decimal) at HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization. Do not use value 0 as suggested previously, as 99 is the specific standard for bypassing peering services on servers. You can immediately validate the remediation by running Get-DeliveryOptimizationStatus | Select-Object DownloadMode in an elevated PowerShell prompt; it should return 'Simple', confirming that traffic to random external IPs will cease.

Keine Ahnung, ob die obige Anleitung was bringt. Ergänzung 2: Es sieht so aus, als ob das Problem behoben ist. Noch jemand aus der Leserschaft, der das bestätigen kann?