Digital Imaging and Communications in Medicine (DICOM) è uno standard internazionale per la trasmissione, l'archiviazione, il recupero, la stampa e la visualizzazione di informazioni di imaging medico, come radiografie, TAC, risonanze magnetiche ed ecografie. Un file DICOM comprende una definizione di formato di file e un protocollo di comunicazione di rete.
Un file DICOM può contenere malware?
L'intestazione del file DICOM consiste in un preambolo di 128 byte, seguito da un prefisso DICOM di 4 byte. Il preambolo fa parte di una funzione di compatibilità progettata per consentire l'elaborazione di file di immagini mediche da parte di software DICOM e non DICOM.
- Un visualizzatore DICOM ignora il preambolo del file, osserva la stringa DICM, elabora il contenuto DICOM e visualizza le immagini DICOM.
- Un visualizzatore TIFF può utilizzare le informazioni di offset nel preambolo del file per accedere e visualizzare i dati dei pixel dell'immagine nel file, ignorando il resto del contenuto DICOM.
Purtroppo, questo design del preambolo può offrire agli attori delle minacce un nuovo modo per diffondere codice dannoso. Utilizzando un'intestazione di un altro tipo di file, ad esempio .exe, gli aggressori possono nascondere malware in un file DICOM altrimenti regolare. Cylera, un'azienda che fornisce soluzioni di sicurezza informatica per gli ospedali, ha pubblicato i dettagli tecnici e il codice proof-of-concept (PoC) di questa vulnerabilità, a cui è stato assegnato l'identificativo CVE-2019-11687.
Esaminiamo un esempio per vedere come funziona la tecnologia Deep CDR™ (Content Disarm and Reconstruction)possa risolvere il problema:
In questo caso, la tecnologia Deep CDR™ ha rimosso i contenuti non autorizzati e ha ricostruito il file DICOM includendo solo i dati legittimi. Pertanto, la modifica dell'estensione del file in .exe non ha avuto effetto sul file ripulito. Di conseguenza, il codice dannoso non è più eseguibile. Inoltre, l'integrità della struttura del file è stata pienamente preservata, consentendo agli utenti di utilizzare il file in tutta sicurezza senza alcuna perdita di funzionalità.
La tecnologia Deep CDR™ garantisce che nessun file in entrata nella vostra organizzazione sia dannoso, aiutandovi a prevenire attacchi zero-day e malware evasivo. La nostra soluzione supporta la sanificazione di oltre 100 tipi di file comuni, tra cui PDF, file Microsoft Office, HTML e molti formati di file immagine.
Contattateci oggi stesso per saperne di più sulle tecnologie avanzate di OPSWAT e per scoprire come proteggere la vostra organizzazione in modo completo.
Riferimento:
- "Biblioteca DICOM - Informazioni sul formato DICOM". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
