התגלתה פגיעות אבטחת מידע בתוכנת ניהול הסיסמאות KeePass (v2.X), המאפשרת להאקרים לשלוף את סיסמת האב (סיסמאת מאסטר) מזיכרון התוכנה. הפגיעות התגלתה על ידי חוקר אבטחת הסייבר דומיניק רייכל וצפויה להיפתר במהדורה הקרובה של KeePass 2.54 בתחילת יוני 2023. רייכל תיאר את הפגם בדו"ח אבטחה שפורסם ב- GitHub, שם הבהיר כי ניתן לנצל את פגיעות האבטחה רק אם סיסמת האב מוקלדת במקלדת ולא אם היא מועתקת.
הפגם ב- KeePass כרוך בתיבת טקסט בשם SecureTextBoxEx המשמשת להזנת הסיסמה. הפעולה יוצרת מחרוזות אשר נשארת בזיכרון כאשר התווים מוקלדים, מה שהופך אותם לקשים להסרה עקב מאפייני .NET. לדוגמה, בעת הקלדת "password", מאוחסנים שרידי מחרוזות כמו •a, ••s, •••s, ••••w, •••••o, ••••••r, ••••• ••d בזיכרון. רייכל הצליח לסרוק את dump הזיכרון והציע תווי סיסמה לכל פוזיציה. מתקפת סייבר על KeePass אינה דורשת ביצוע קוד על מערכת היעד, אלא רק dump זיכרון. ניתן לקבל את הזיכרון מקבצים שונים, כולל dump RAM של המערכת כולה. הפגם יכול גם לעקוף את המצב הנעול של סביבת העבודה, שכן ניתן לחלץ את הסיסמה מהזיכרון גם לאחר שה- KeePass אינו פועל יותר (אם כי הסיכויים יורדים עם הזמן).
כדי לצמצם את הסיכון הקשור לפגיעות זו, מומלץ למשתמשי KeePass לעדכן לגירסה KeePass 2.54 או גרסה מתקדמת יותר ברגע שתהיה זמינה. בינתיים ממליץ רייכל למשתמשי KeePass לשנות את סיסמת האב שלהם, להפעיל מחדש את המחשב, למחוק את קובץ הזיכרון ואת קובץ ה- pagefile/swapfile ולדרוס נתונים שנמחקו בכונן הדיסק הקשיח כדי למנוע שחזור נתונים. כמו כן, מומלץ לבצע התקנה חדשה של מערכת ההפעלה כדי להבטיח אבטחה מרבית.
חברת KeePass הבהירה שחלק מהמוצרים מבוססי KeePass, כגון KeePassXC, Strongbox ו- KeePass 1.X, אינם מושפעים מפגם האבטחה.
ידיעה זו מגיעה מספר חודשים לאחר שפריצות למערכת LastPass העלו את מנהלי הסיסמאות לאור הזרקורים.
