A Digital Imaging and Communications in Medicine (DICOM) é uma norma internacional para a transmissão, armazenamento, recuperação, impressão e visualização de imagens médicasinformações, tais como raios X, tomografias computorizadas, ressonâncias magnéticas e ultra-sons. Um ficheiro DICOM inclui uma definição de formato de ficheiro e um protocolo de comunicações em rede.
Um ficheiro DICOM pode conter malware?
O cabeçalho do ficheiro DICOM é constituído por um preâmbulo de 128 bytes, seguido de um prefixo DICOM de 4 bytes. O preâmbulo faz parte de uma funcionalidade de compatibilidade concebida para permitir que os ficheiros de imagens médicas sejam processados por software DICOM e não DICOM.
- Um visualizador DICOM não tem em conta o preâmbulo do ficheiro, observa a cadeia DICM, processa o conteúdo DICOM e apresenta as imagens DICOM.
- Um visualizador TIFF pode utilizar informações de desvio no preâmbulo do ficheiro para aceder e apresentar os dados de píxeis da imagem no ficheiro, ignorando o resto do conteúdo DICOM.
Infelizmente, este design de preâmbulo pode dar aos agentes de ameaças uma nova forma de espalhar código malicioso. Ao utilizar um cabeçalho de outro tipo de ficheiro, por exemplo, .exe, os atacantes podem esconder malware num ficheiro DICOM normal. A Cylera, uma empresa que fornece soluções de cibersegurança para hospitais, publicou detalhes técnicos e código de prova de conceito (PoC) para esta vulnerabilidade, à qual foi atribuído o identificador CVE-2019-11687.
Vamos analisar um exemplo e ver como a tecnologia Deep CDR™ (Desarmamento e Reconstrução de Conteúdo)pode resolver o problema:
Neste caso, a tecnologia Deep CDR™ removeu o conteúdo não autorizado e reconstruiu o ficheiro DICOM utilizando apenas os seus dados legítimos. Assim, a alteração da extensão do ficheiro para .exe não surtiu efeito no ficheiro limpo. Consequentemente, o código malicioso deixou de ser executável. Além disso, a integridade da estrutura do ficheiro foi totalmente preservada, pelo que os utilizadores podem utilizar o ficheiro com segurança, sem qualquer perda de funcionalidade.
A tecnologia Deep CDR™ garante que nenhum ficheiro que entre na sua organização seja prejudicial, ajudando-o a prevenir ataques de dia zero e malware evasivo. A nossa solução suporta a higienização de mais de 100 tipos de ficheiros comuns, incluindo PDF, ficheiros do Microsoft Office, HTML e muitos tipos de ficheiros de imagem.
Contacte-nos hoje para saber mais sobre as tecnologias avançadas do OPSWAT e saber como proteger a sua organização de forma abrangente.
Referência:
- "Biblioteca DICOM - Acerca do formato DICOM". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
