Kurze Information in die Runde der Administratoren, die vielleicht noch einen Windows Server 2008 R2 mit ESU im Einsatz haben. Ein Blog-Leser hat mich zum 14. April 2026 informiert, dass er auf zwei dieser Systeme einen false positive-Alarm "Possible sensor tampering in memory" des Microsoft Defender bekommen hat. Ist das noch jemand aufgefallen?
Ich komme erst heute dazu, das Thema kurz aufzugreifen. Blog-Leser Timo J. hatte mich gestern am späten Nachmittag per E-Mail kontaktiert. Unter dem Betreff "False Positive Defender Alert – 'Possible sensor tampering in memory' auf Windows Server 2008 R2" schrieb er "ich lese Ihren Blog schon seit Jahren und wollte Ihnen heute einen Fall schildern, der vielleicht auch andere Leser betrifft."
SOC meldet Defender Alert mit Schweregrad "Hoch"
Die IT in seinem Unternehmen hat zum 14. April 2026 im Security Operations Center (SOC) einen "Alert" des Microsoft Defender for Endpoint erhalten. Der Eintrag im SOC sah auf den ersten Blick ziemlich alarmierend aus: "Possible sensor tampering in memory".
Der Status wurde mit "Severity High", also Schweregrad "Hoch" bewertet. Gleichzeitig trat die Meldung auf zwei Servern gleichzeitig auf. Das würde, sofern zutreffend, auf eine Schadfunktion im Speicher hinweisen. Denn es besteht die Gefahr, dass Sensoren zur Erkennung von Schädlingen im Speicher manipuliert wurden.
Analyse legt ein 'False Positive' nahe
Das hat die IT des Unternehmens dann richtig aufgescheucht. Der Leser schrieb: "Nach einer gründlichen Analyse war zum Glück klar, dass es sich um einen False Positive handelt."
Die Ursache war laut Leser, dass der MpDefenderCoreService.exe intern einen CreateRemoteThread-Aufruf auf MsSense.exe durchführt. Beides sind legitime, Microsoft-signierte Defender-Komponenten aus den erwarteten Installationspfaden.
Die Detection Engine des Microsoft Defender for Endpoint wertet diese interne Kommunikation zwischen eigenen Komponenten fälschlicherweise als Angriff. Der Netzwerkverkehr war, so die Analyse, ausschließlich zu Microsoft-Infrastruktur. Der vermutete "Payload" war ein normaler Defender Check-In. Eine Prüfung auf VirusTotal ergab, dass 0 von 72 Scannern angeschlagen haben.
Nur Windows Server 2008 R2-Instanzen betroffen
Besonders auffällig war laut Leser, dass der Alert ausschließlich auf den beiden Windows Server 2008 R2 Maschinen aufgetaucht ist, obwohl in der Umgebung viele andere Systeme laufen. Neuere Windows-Versionen waren nicht betroffen. Es scheint also eine Kombination aus aktueller Defender-Komponentenversion und dem Legacy-OS zu sein, mutmaßt der Leser.
Das erinnert den Leser sehr an den OpenHandleCollector.exe-Fall von Dezember 2021, den ich im Blog-Beitrag Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme aufgegriffen haben. Der "Defender erschreckt sich wieder einmal vor sich selbst", war der Schluss des Lesers.
Weitere Analysen bestätigen den Fehlalarm
Das Ganze hat der IT keine Ruhe gelassen und man hat den Fall weiter analysiert. In einer Folgemail schrieb der Leser, dass man abschließend einen ziemlich eindeutigen Beweis dafür gefunden habe, dass es sich um einen False Positive Alert handelt.
Nach einer Auswertung der SenseCM.exe-Check-In-Zeiten über Advanced Hunting haben die IT-Mitarbeiter festgestellt, dass der Alert exakt im Takt des Defender-Heartbeats ausgelöst wird. Die Timestamps von Check-In und Alert stimmen dabei auf die Sekunde überein.
Auf dem ersten System läuft der Check-In alle 87-88 Minuten, auf dem zweiten System alle 92-93 Minuten. Jedes Mal wenn SenseCM.exe den Check-In durchführt, kommt sofort ein High-Severity-Alert. Inhaltlich ist es immer exakt derselbe Command, dieselbe URL, dasselbe Payload.
Microsoft wurde informiert, und hat es als Fehlalarm bestätigt
Der Leser schrieb: "Wir haben Microsoft bereits über das Support-Portal informiert und eine Rückmeldung über 'Report inaccuracy' im Defender-Portal übermittelt."
Der Microsoft Support hat auf die Rückmeldung geantwortet und bestätigt in der ersten Rückmeldung, dass auf Legacy-OS wie Windows Server 2008 R2 interne Defender-Interaktionen unter Umständen wie Process Injection aussehen können. Die offizielle Bestätigung als False Positive steht noch aus, aber die Richtung ist klar.
War noch jemand betroffen?
Der Leser merkt an, dass der Fall sich sehr sauber dokumentieren lasse, da die Korrelation zwischen Heartbeat-Intervall und Alert-Zeitstempeln eindeutig nachweisbar ist. Ihn würde in diesem Kontext interessieren, ob dieser "false positive"-Alarm des Microsoft Defender for Endpoint bei anderen Lesern ebenfalls aufgetaucht ist? SOC-Teams oder IT-Mitarbeiter, die diesen Alert sehen werden, können sich zumindest die Untersuchung in diesem Fall sparen.
Noch ein Fall vom 9. April 2026, den ein Leser berichtete – ich packe das mal hier dazu. Ein Blog-Leser hat sich an diesem Tage die (.NET) Desktop Runtime 10.0.5 direkt von der Microsoft-Seite herunter geladen. Bei der Installation meldete sich der Virenschutz (Bitdefender Premium Security) mit der Meldung , dass ein infiziertes Objekt gefunden worden sei. Bemängelt wurde die geladene Datei AFUUXCSM.exe, die angeblich mit der Malware Gen:Variant.Giant.Babar.4997 infiziert sei. Die Datei wurde sofort in die Quarantäne geschoben. Mir ist keine weitere aktuelle Meldung untergekommen. Aber der Bitdefender Virenschutz hat es mit dem Giant.Babar.4997, wie ich der Meldung aus 2022 sowie der reddit.com-Meldung aus 2025 entnehmen konnte. War noch jemand betroffen.
MVP: 2013 – 2016
