Digital Imaging and Communications in Medicine (DICOM) è uno standard internazionale per la trasmissione, l'archiviazione, il recupero, la stampa e la visualizzazione di informazioni di imaging medico, come radiografie, TAC, risonanze magnetiche ed ecografie. Un file DICOM comprende una definizione di formato di file e un protocollo di comunicazione di rete.
Un file DICOM può contenere malware?
L'intestazione del file DICOM consiste in un preambolo di 128 byte, seguito da un prefisso DICOM di 4 byte. Il preambolo fa parte di una funzione di compatibilità progettata per consentire l'elaborazione di file di immagini mediche da parte di software DICOM e non DICOM.
- Un visualizzatore DICOM ignora il preambolo del file, osserva la stringa DICM, elabora il contenuto DICOM e visualizza le immagini DICOM.
- Un visualizzatore TIFF può utilizzare le informazioni di offset nel preambolo del file per accedere e visualizzare i dati dei pixel dell'immagine nel file, ignorando il resto del contenuto DICOM.
Purtroppo, questo design del preambolo può offrire agli attori delle minacce un nuovo modo per diffondere codice dannoso. Utilizzando un'intestazione di un altro tipo di file, ad esempio .exe, gli aggressori possono nascondere malware in un file DICOM altrimenti regolare. Cylera, un'azienda che fornisce soluzioni di sicurezza informatica per gli ospedali, ha pubblicato i dettagli tecnici e il codice proof-of-concept (PoC) di questa vulnerabilità, a cui è stato assegnato l'identificativo CVE-2019-11687.
Esaminiamo un esempio e vediamo come Deep CDR (Disarmo e ricostruzione dei contenuti)può risolvere il problema:
In questo caso, Deep CDR ha rimosso il contenuto non approvato e ha ricostruito il file DICOM con i soli dati legittimi. Pertanto, rinominare l'estensione del file in .exe non ha funzionato con il file sanificato. Di conseguenza, il codice dannoso non è più eseguibile. Inoltre, l'integrità della struttura del file è completamente riservata, per cui gli utenti possono utilizzare il file in modo sicuro senza perdita di utilizzabilità.
Deep CDR garantisce che ogni file che entra nella vostra organizzazione non sia dannoso, aiutandovi a prevenire gli attacchi zero-day e il malware evasivo. La nostra soluzione supporta la sanificazione di oltre 100 tipi di file comuni, tra cui PDF, file di Microsoft Office, HTML e molti tipi di file immagine.
Contattateci oggi stesso per saperne di più sulle tecnologie avanzate di OPSWAT e per scoprire come proteggere la vostra organizzazione in modo completo.
Riferimento:
- "Biblioteca DICOM - Informazioni sul formato DICOM". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
