![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Kurze Information in die Runde der Administratoren, die vielleicht noch einen Windows Server 2008 R2 mit ESU im Einsatz haben. Ein Blog-Leser hat mich zum 14. April 2026 informiert, dass er auf zwei dieser Systeme einen false positive-Alarm \"Possible sensor tampering in memory\" des Microsoft Defender bekommen hat. Ist das noch jemand aufgefallen?<\/p>\n
<\/p>\n
Ich komme erst heute dazu, das Thema kurz aufzugreifen. Blog-Leser Timo J. hatte mich gestern am sp\u00e4ten Nachmittag per E-Mail kontaktiert. Unter dem Betreff \"False Positive Defender Alert – 'Possible sensor tampering in memory' auf Windows Server 2008 R2\" schrieb er \"ich lese Ihren Blog schon seit Jahren und wollte Ihnen heute einen Fall schildern, der vielleicht auch andere Leser betrifft.\"<\/p>\n
Die IT in seinem Unternehmen hat zum 14. April 2026 im Security Operations Center (SOC) einen \"Alert\" des Microsoft Defender for Endpoint erhalten. Der Eintrag im SOC sah auf den ersten Blick ziemlich alarmierend aus: \"Possible sensor tampering in memory\".<\/p>\n
Der Status wurde mit \"Severity High\", also Schweregrad \"Hoch\" bewertet. Gleichzeitig trat die Meldung auf zwei Servern gleichzeitig auf. Das w\u00fcrde, sofern zutreffend, auf eine Schadfunktion im Speicher hinweisen. Denn es besteht die Gefahr, dass Sensoren zur Erkennung von Sch\u00e4dlingen im Speicher manipuliert wurden.<\/p>\n
Das hat die IT des Unternehmens dann richtig aufgescheucht. Der Leser schrieb: \"Nach einer gr\u00fcndlichen Analyse war zum Gl\u00fcck klar, dass es sich um einen False Positive handelt.\"<\/p>\n
Die Ursache war laut Leser, dass der MpDefenderCoreService.exe<\/em> intern einen CreateRemoteThread-Aufruf<\/em> auf MsSense.exe<\/em> durchf\u00fchrt. Beides sind legitime, Microsoft-signierte Defender-Komponenten aus den erwarteten Installationspfaden.<\/p>\n Die Detection Engine des Microsoft Defender for Endpoint wertet diese interne Kommunikation zwischen eigenen Komponenten f\u00e4lschlicherweise als Angriff. Der Netzwerkverkehr war, so die Analyse, ausschlie\u00dflich zu Microsoft-Infrastruktur. Der vermutete \"Payload\" war ein normaler Defender Check-In. Eine Pr\u00fcfung auf VirusTotal\u00a0 ergab, dass 0 von 72 Scannern angeschlagen haben.<\/p>\n Besonders auff\u00e4llig war laut Leser, dass der Alert ausschlie\u00dflich auf den beiden Windows Server 2008 R2 Maschinen aufgetaucht ist, obwohl in der Umgebung viele andere Systeme laufen. Neuere Windows-Versionen waren nicht betroffen. Es scheint also eine Kombination aus aktueller Defender-Komponentenversion und dem Legacy-OS zu sein, mutma\u00dft der Leser.<\/p>\n Das erinnert den Leser sehr an den OpenHandleCollector.exe<\/em>-Fall von Dezember 2021, den ich im Blog-Beitrag Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme<\/a> aufgegriffen haben. Der \"Defender erschreckt sich wieder einmal vor sich selbst\", war der Schluss des Lesers.<\/p>\n Das Ganze hat der IT keine Ruhe gelassen und man hat den Fall weiter analysiert. In einer Folgemail schrieb der Leser, dass man abschlie\u00dfend einen ziemlich eindeutigen Beweis daf\u00fcr gefunden habe, dass es sich um einen False Positive Alert handelt.<\/p>\n Nach einer Auswertung der SenseCM.exe<\/em>-Check-In-Zeiten \u00fcber Advanced Hunting haben die IT-Mitarbeiter festgestellt, dass der Alert exakt im Takt des Defender-Heartbeats ausgel\u00f6st wird. Die Timestamps von Check-In und Alert stimmen dabei auf die Sekunde \u00fcberein.<\/p>\n Auf dem ersten System l\u00e4uft der Check-In alle 87-88 Minuten, auf dem zweiten System alle 92-93 Minuten. Jedes Mal wenn SenseCM.exe<\/em> den Check-In durchf\u00fchrt, kommt sofort ein High-Severity-Alert. Inhaltlich ist es immer exakt derselbe Command, dieselbe URL, dasselbe Payload.<\/p>\n Der Leser schrieb: \"Wir haben Microsoft bereits \u00fcber das Support-Portal informiert und eine R\u00fcckmeldung \u00fcber 'Report inaccuracy' im Defender-Portal \u00fcbermittelt.\"<\/p>\n Der Microsoft Support hat auf die R\u00fcckmeldung geantwortet und best\u00e4tigt in der ersten R\u00fcckmeldung, dass auf Legacy-OS wie Windows Server 2008 R2 interne Defender-Interaktionen unter Umst\u00e4nden wie Process Injection aussehen k\u00f6nnen. Die offizielle Best\u00e4tigung als False Positive steht noch aus, aber die Richtung ist klar.<\/p>\n Der Leser merkt an, dass der Fall sich sehr sauber dokumentieren lasse, da die Korrelation zwischen Heartbeat-Intervall und Alert-Zeitstempeln eindeutig nachweisbar ist. Ihn w\u00fcrde in diesem Kontext interessieren, ob dieser \"false positive\"-Alarm des Microsoft Defender for Endpoint bei anderen Lesern ebenfalls aufgetaucht ist? SOC-Teams oder IT-Mitarbeiter, die diesen Alert sehen werden, k\u00f6nnen sich zumindest die Untersuchung in diesem Fall sparen.<\/p>\n Noch ein Fall vom 9. April 2026, den ein Leser berichtete – ich packe das mal hier dazu. Ein Blog-Leser hat sich an diesem Tage die (.NET) Desktop Runtime 10.0.5 direkt von der Microsoft-Seite\u00a0 herunter geladen. Bei der Installation meldete sich der Virenschutz (Bitdefender Premium Security) mit der Meldung , dass ein infiziertes Objekt gefunden worden sei. Bem\u00e4ngelt wurde die geladene Datei AFUUXCSM.exe, die angeblich mit\u00a0 der Malware Gen:Variant.Giant.Babar.4997 infiziert sei. Die Datei wurde sofort in die Quarant\u00e4ne geschoben. Mir ist keine weitere aktuelle Meldung untergekommen. Aber der Bitdefender Virenschutz hat es mit dem Giant.Babar.4997, wie ich der Meldung<\/a> aus 2022 sowie der reddit.com-Meldung aus 2025 entnehmen konnte. War noch jemand betroffen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":" Kurze Information in die Runde der Administratoren, die vielleicht noch einen Windows Server 2008 R2 mit ESU im Einsatz haben. Ein Blog-Leser hat mich zum 14. April 2026 informiert, dass er auf zwei dieser Systeme einen false positive-Alarm \"Possible sensor … Weiterlesen Nur Windows Server 2008 R2-Instanzen betroffen<\/h3>\n
Weitere Analysen best\u00e4tigen den Fehlalarm<\/h3>\n
Microsoft wurde informiert, und hat es als Fehlalarm best\u00e4tigt<\/h3>\n
War noch jemand betroffen?<\/h2>\n