Digital Imaging and Communications in Medicine (DICOM) este un standard internațional pentru transmiterea, stocarea, extragerea, imprimarea și afișarea de informații privind imagistica medicală, cum ar fi radiografii, tomografii computerizate, RMN și ultrasunete. Un fișier DICOM cuprinde o definiție a formatului de fișier și un protocol de comunicare în rețea.
Poate un fișier DICOM să conțină malware?
Antetul fișierului DICOM este format dintr-un preambul de 128 de octeți, urmat de un prefix DICOM de 4 octeți. Preambulul face parte dintr-o caracteristică de compatibilitate concepută pentru a permite prelucrarea fișierelor de imagistică medicală atât de software-ul DICOM, cât și de cel care nu este DICOM.
- Un vizualizator DICOM nu ține cont de preambulul fișierului, observă șirul DICM, procesează conținutul DICOM și afișează imaginile DICOM.
- Un vizualizator TIFF poate utiliza informațiile de decalaj din preambulul fișierului pentru a accesa și afișa datele pixelilor imaginii din fișier, ignorând restul conținutului DICOM.
Din nefericire, acest preambul poate oferi actorilor de amenințări o nouă modalitate de a răspândi coduri malițioase. Utilizând un antet de alt tip de fișier, de exemplu, .exe, atacatorii pot ascunde programe malware într-un fișier DICOM obișnuit. Cylera, o companie care oferă soluții de securitate cibernetică pentru spitale, a publicat detalii tehnice și cod proof-of-concept (PoC) pentru această vulnerabilitate, căreia i-a fost atribuit identificatorul CVE CVE-2019-11687.
Să analizăm un exemplu și să vedem cum funcționează tehnologia Deep CDR™ (Content Disarm and Reconstruction)poate rezolva problema:
În acest caz, tehnologia Deep CDR™ a eliminat conținutul neautorizat și a reconstruit fișierul DICOM păstrând doar datele legitime. Astfel, schimbarea extensiei fișierului în .exe nu a funcționat în cazul fișierului curățat. În consecință, codul rău intenționat nu mai este executabil. De asemenea, integritatea structurii fișierului este pe deplin păstrată, astfel încât utilizatorii pot folosi fișierul în siguranță, fără a-i afecta funcționalitatea.
Tehnologia Deep CDR™ garantează că niciun fișier care intră în organizația dumneavoastră nu este dăunător, ajutându-vă să preveniți atacurile de tip „zero-day” și programele malware evazive. Soluția noastră permite sterilizarea a peste 100 de tipuri de fișiere comune, inclusiv PDF, fișiere Microsoft Office, HTML și numeroase tipuri de fișiere imagine.
Contactați-ne astăzi pentru a înțelege mai multe despre OPSWAT tehnologii avansate și pentru a afla cum să vă protejați organizația în mod cuprinzător.
Referință:
- "Biblioteca DICOM - Despre formatul DICOM". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
