Extreme CPU- und RAM-Auslastung durch Sophos mit Splashtop / Atera

Seit Dienstag haben wir im Monitoring sehr eigenartige CPU- und Arbeitsspeicher-Auslastungen auf einigen wenigen PCs gesehen. Der auslösende Dienst war immer Sophos Endpoint Defense Software mit über 10GB Ram und 80% CPU-Auslastung. Nachdem wir hier Nachforschungen angestellt haben, sind wir auf die Wurzel des Problems gestoßen: Splashtop 3.5.6.0. Hier zeigen wir dir, wie du dem Ganzen ein Ende setzt.

Unsere 24/7 Überwachung zeigte in der Nacht von Dienstag auf Mittwoch bei einer handvoll Geräte plötzlich eigenartige RAM und CPU-Muster. Mittwoch meldete uns eine Kundin, dass sie Performance-Probleme in einer ihrer Akustik-Kabinen hat und da war klar: hier stimmt etwas nicht.

Nach einer Sicherheitsüberprüfung der betroffenen Systeme konnten wir einen Cyber-Zwischenfall ausschließen. Die Lösung des Problems konnte dann bei genauerem Hinsehen gefunden werden.

1. Lösung, wer Splashtop behalten will

Zunächst einmal hat Sophos mittlerweile eine Lösung dafür bereitgestellt:
https://support.sophos.com/support/s/article/KB-000045230?language=en_US

Problem

Systeme, auf denen der Sophos Central Server Core Agent läuft, zeigen nach dem Update auf Splashtop Streamer Version 3.5.6.0 eine hohe CPU- und RAM-Auslastung.

Produkt und Umgebung

Sophos Central Endpoint Core Agent 2022.4 und höher
Sophos Central Server Core Agent 2022.4 und höher

Ursache

Nach dem Update auf Splashtop Streamer erstellt die Anwendung eine große Anzahl von rotierenden Logdateien in schneller Folge unter \Device\HarddiskVolume*\Program Files (x86)\Splashtop\Splashtop Remote\Server\log\agent_log.txt.001 (wobei die Erweiterung 001 bis 999 erhöht wird).
Alle diese Dateierstellungs- und Umbenennungsvorgänge werden von Sophos File Scanner und Sophos System Protection Service gescannt, was die Scan-Warteschlange vergrößert und CPU und Speicher verbraucht.

Lösung

Fügen Sie auf den betroffenen Systemen eine Ausschlussregel “Datei oder Ordner (Windows)” vom Typ “Nur Echtzeitschutz” für den Pfad hinzu, der die Logdateien enthält:

Öffnen Sie die Globalen Ausschlüsse oder eine Bedrohungsschutzrichtlinie, die auf die Server mit Splashtop angewendet wird, und klicken Sie auf “Ausschluss hinzufügen”.
Ausschlusstyp = Datei oder Ordner (Windows)
Wert = “C:\Program Files (x86)\Splashtop\Splashtop Remote\Server\log”
Der Pfad muss möglicherweise je nach Installationsort angepasst werden.
Aktiv für = Echtzeit- und Geplante Scans
Klicken Sie auf “Hinzufügen” und “Speichern”

2. Lösung, wer Splashtop nicht mehr braucht

Wer Splashtop so wie wir nur wegen Atera installiert hat, der kann das ganze getrost deinstallieren. Je nach Umgebung ist das eine relativ umfangreiche Arbeit. Daher haben wir hier das passende Skript dafür.

msiexec /x {B7C5EA94-B96A-41F5-BE95-25D78B486678} /qn

REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Splashtop Inc." /f > nul 2> nul
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Splashtop Inc." /f > nul 2> nul

RMDIR /S /Q "C:\Program Files (x86)\Splashtop\Splashtop Remote\Server" > nul 2> nul
RMDIR /S /Q "C:\ProgramData\Splashtop\Temp" > nul 2> nul

sc stop "SplashtopRemoteService"
sc delete "SplashtopRemoteService"

sc stop "SSUService"
sc delete "SSUService"

RMDIR /S /Q "C:\ProgramData\Splashtop\Splashtop Software Updater" > nul 2> nul
RMDIR /S /Q "C:\Program Files (x86)\Splashtop\Splashtop Software Updater" > nul 2> nul
exit

(Das Skript in den Texteditor kopieren, Speichern als .BAT, als Admin ausführen – oder über die RMM verteilen)

In einigen Situationen funktioniert das obere Skript leider nicht. In diesen Fällen bleibt dann nur noch dieser BAT-Befehl für die aktuellen Versionen (das Skript in den Texteditor kopieren, Speichern als .BAT, als Admin ausführen – oder über die RMM verteilen)

powershell.exe -command "& {$app = get-wmiobject -class Win32_Product -filter \"Name = 'Splashtop Streamer'\" ; $app.Uninstall()}

Hiermit wird Splashtop deaktiviert und deinstalliert und zwar komplett. Anschließend geht die CPU- und RAM-Auslastung sofort zurück.

3. Lösung, wer Atera nutzt

Sollte es hier Admins geben, die Atera nutzen, dann wäre das alles, was man tun muss:

In den Einstellungen unter Remote Access Splashtop deaktivieren. Dann wird es innerhalb von 24 Stunden von allen PCs deinstalliert.

Viel Erfolg mit den beiden Workarounds!