A DICOM (Digital Imaging and Communications in Medicine) egy nemzetközi szabvány az orvosi képalkotóinformációk, például röntgen-, CT-, MRI- és ultrahangfelvételek továbbítására, tárolására, visszakeresésére, nyomtatására és megjelenítésére. A DICOM-fájl egy fájlformátum-definícióból és egy hálózati kommunikációs protokollból áll.
Tartalmazhat-e egy DICOM-fájl rosszindulatú programot?
A DICOM-fájlfejléc egy 128 bájtos fájl-előtagból áll, amelyet egy 4 bájtos DICOM-előtag követ. A preambulum egy olyan kompatibilitási funkció része, amelynek célja, hogy az orvosi képfájlokat mind a DICOM, mind a nem DICOM szoftverek feldolgozhassák.
- A DICOM-megjelenítő figyelmen kívül hagyja a fájl preambulumát, figyeli a DICM karakterláncot, feldolgozza a DICOM-tartalmat, és megjeleníti a DICOM-képeket.
- A TIFF-megjelenítő a fájl preambulumában található eltolási információkat használhatja a fájlban lévő képpontadatok eléréséhez és megjelenítéséhez, miközben a DICOM-tartalom többi részét figyelmen kívül hagyja.
Sajnos ez a preambulum kialakítás új módot adhat a fenyegető szereplők számára a rosszindulatú kód terjesztésére. Egy másik fájltípus - például .exe - fejlécének használatával a támadók rosszindulatú kódot rejthetnek el egy egyébként szabályos DICOM-fájlban. A Cylera, egy kórházak számára kiberbiztonsági megoldásokat kínáló vállalat technikai részleteket és proof-of-concept (PoC) kódot tett közzé a sebezhetőséggel kapcsolatban, amely a CVE-2019-11687 CVE-azonosítót kapta.
Vizsgáljunk meg egy mintát, és nézzük meg, hogyan működik a Deep CDR (Tartalom hatástalanítás és rekonstrukció)megoldhatja a problémát:
Ebben az esetben a Deep CDR eltávolította a nem engedélyezett tartalmat, és a DICOM-fájlt csak a jogszerű adatokkal rekonstruálta. Így a fájlkiterjesztés .exe-re történő átnevezése nem működött a tisztított fájlban. Ennek eredményeképpen a rosszindulatú kód már nem futtatható. Emellett a fájlszerkezet integritása teljes mértékben megmaradt, így a felhasználók biztonságosan használhatják a fájlt a használhatóság csökkenése nélkül.
Deep CDR biztosítja, hogy a szervezetébe bejutó minden fájl nem káros, segít megelőzni a nulladik napi támadásokat és a kitérő rosszindulatú szoftvereket. Megoldásunk több mint 100 gyakori fájltípus, többek között PDF, Microsoft Office fájlok, HTML és számos képfájltípus esetében támogatja a vírusmentesítést.
Lépjen kapcsolatba velünk még ma, ha többet szeretne megtudni az OPSWAT fejlett technológiákról, és megtudhatja, hogyan védheti meg szervezetét átfogóan.
Hivatkozás:
- "DICOM Könyvtár - A DICOM formátumról". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot.
