A DICOM (Digital Imaging and Communications in Medicine) egy nemzetközi szabvány az orvosi képalkotóinformációk, például röntgen-, CT-, MRI- és ultrahangfelvételek továbbítására, tárolására, visszakeresésére, nyomtatására és megjelenítésére. A DICOM-fájl egy fájlformátum-definícióból és egy hálózati kommunikációs protokollból áll.
Tartalmazhat-e egy DICOM-fájl rosszindulatú programot?
A DICOM-fájlfejléc egy 128 bájtos fájl-előtagból áll, amelyet egy 4 bájtos DICOM-előtag követ. A preambulum egy olyan kompatibilitási funkció része, amelynek célja, hogy az orvosi képfájlokat mind a DICOM, mind a nem DICOM szoftverek feldolgozhassák.
- A DICOM-megjelenítő figyelmen kívül hagyja a fájl preambulumát, figyeli a DICM karakterláncot, feldolgozza a DICOM-tartalmat, és megjeleníti a DICOM-képeket.
- A TIFF-megjelenítő a fájl preambulumában található eltolási információkat használhatja a fájlban lévő képpontadatok eléréséhez és megjelenítéséhez, miközben a DICOM-tartalom többi részét figyelmen kívül hagyja.
Sajnos ez a preambulum kialakítás új módot adhat a fenyegető szereplők számára a rosszindulatú kód terjesztésére. Egy másik fájltípus - például .exe - fejlécének használatával a támadók rosszindulatú kódot rejthetnek el egy egyébként szabályos DICOM-fájlban. A Cylera, egy kórházak számára kiberbiztonsági megoldásokat kínáló vállalat technikai részleteket és proof-of-concept (PoC) kódot tett közzé a sebezhetőséggel kapcsolatban, amely a CVE-2019-11687 CVE-azonosítót kapta.
Vizsgáljuk meg egy mintát, és nézzük meg, hogyan működik a Deep CDR™ technológia (tartalom-hatástalanítás és rekonstrukció)hogyan oldja meg a problémát:
Ebben az esetben a Deep CDR™ technológia eltávolította a nem jóváhagyott tartalmat, és csak a legitim adatokkal rekonstruálta a DICOM fájlt. Így a fájl kiterjesztésének .exe-re történő átnevezése nem működött a megtisztított fájl esetében. Ennek eredményeként a rosszindulatú kód már nem futtatható. Emellett a fájlszerkezet integritása teljes mértékben megmarad, így a felhasználók biztonságosan használhatják a fájlt, anélkül, hogy annak használhatósága csökkenne.
A Deep CDR™ technológia biztosítja, hogy minden, a szervezetébe bekerülő fájl ártalmatlan legyen, segítve ezzel a zero-day támadások és a kifürkészhetetlen rosszindulatú programok megelőzését. Megoldásunk több mint 100 általános fájltípus tisztítását támogatja, beleértve a PDF, Microsoft Office fájlokat, HTML és számos képfájltípust.
Lépjen kapcsolatba velünk még ma, ha többet szeretne megtudni az OPSWAT fejlett technológiákról, és megtudhatja, hogyan védheti meg szervezetét átfogóan.
Hivatkozás:
- "DICOM Könyvtár - A DICOM formátumról". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot.
