Digital Imaging and Communications in Medicine (DICOM) este un standard internațional pentru transmiterea, stocarea, extragerea, imprimarea și afișarea de informații privind imagistica medicală, cum ar fi radiografii, tomografii computerizate, RMN și ultrasunete. Un fișier DICOM cuprinde o definiție a formatului de fișier și un protocol de comunicare în rețea.
Poate un fișier DICOM să conțină malware?
Antetul fișierului DICOM este format dintr-un preambul de 128 de octeți, urmat de un prefix DICOM de 4 octeți. Preambulul face parte dintr-o caracteristică de compatibilitate concepută pentru a permite prelucrarea fișierelor de imagistică medicală atât de software-ul DICOM, cât și de cel care nu este DICOM.
- Un vizualizator DICOM nu ține cont de preambulul fișierului, observă șirul DICM, procesează conținutul DICOM și afișează imaginile DICOM.
- Un vizualizator TIFF poate utiliza informațiile de decalaj din preambulul fișierului pentru a accesa și afișa datele pixelilor imaginii din fișier, ignorând restul conținutului DICOM.
Din nefericire, acest preambul poate oferi actorilor de amenințări o nouă modalitate de a răspândi coduri malițioase. Utilizând un antet de alt tip de fișier, de exemplu, .exe, atacatorii pot ascunde programe malware într-un fișier DICOM obișnuit. Cylera, o companie care oferă soluții de securitate cibernetică pentru spitale, a publicat detalii tehnice și cod proof-of-concept (PoC) pentru această vulnerabilitate, căreia i-a fost atribuit identificatorul CVE CVE-2019-11687.
Să examinăm un exemplu și să vedem cum Deep CDR (Dezarmarea și reconstrucția conținutului)poate rezolva problema:
În acest caz, Deep CDR a eliminat conținutul neaprobat și a reconstruit fișierul DICOM numai cu datele sale legitime. Astfel, redenumirea extensiei fișierului în .exe nu a funcționat cu fișierul igienizat. Prin urmare, codul malițios nu mai este executabil. De asemenea, integritatea structurii fișierului este pe deplin rezervată, astfel încât utilizatorii pot utiliza fișierul în siguranță, fără a pierde din utilitate.
Deep CDR asigură că fiecare fișier care intră în organizația dvs. nu este dăunător, ajutându-vă să preveniți atacurile de tip zero-day și programele malware evazive. Soluția noastră acceptă dezinfectarea a peste 100 de tipuri comune de fișiere, inclusiv PDF, fișiere Microsoft Office, HTML și multe tipuri de fișiere imagine.
Contactați-ne astăzi pentru a înțelege mai multe despre OPSWAT tehnologii avansate și pentru a afla cum să vă protejați organizația în mod cuprinzător.
Referință:
- "Biblioteca DICOM - Despre formatul DICOM". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
