A Digital Imaging and Communications in Medicine (DICOM) é uma norma internacional para a transmissão, armazenamento, recuperação, impressão e visualização de imagens médicasinformações, tais como raios X, tomografias computorizadas, ressonâncias magnéticas e ultra-sons. Um ficheiro DICOM inclui uma definição de formato de ficheiro e um protocolo de comunicações em rede.
Um ficheiro DICOM pode conter malware?
O cabeçalho do ficheiro DICOM é constituído por um preâmbulo de 128 bytes, seguido de um prefixo DICOM de 4 bytes. O preâmbulo faz parte de uma funcionalidade de compatibilidade concebida para permitir que os ficheiros de imagens médicas sejam processados por software DICOM e não DICOM.
- Um visualizador DICOM não tem em conta o preâmbulo do ficheiro, observa a cadeia DICM, processa o conteúdo DICOM e apresenta as imagens DICOM.
- Um visualizador TIFF pode utilizar informações de desvio no preâmbulo do ficheiro para aceder e apresentar os dados de píxeis da imagem no ficheiro, ignorando o resto do conteúdo DICOM.
Infelizmente, este design de preâmbulo pode dar aos agentes de ameaças uma nova forma de espalhar código malicioso. Ao utilizar um cabeçalho de outro tipo de ficheiro, por exemplo, .exe, os atacantes podem esconder malware num ficheiro DICOM normal. A Cylera, uma empresa que fornece soluções de cibersegurança para hospitais, publicou detalhes técnicos e código de prova de conceito (PoC) para esta vulnerabilidade, à qual foi atribuído o identificador CVE-2019-11687.
Vamos examinar um exemplo e ver como Deep CDR (Desarme e reconstrução de conteúdos)pode resolver o problema:
Neste caso, o Deep CDR removeu o conteúdo não aprovado e reconstruiu o ficheiro DICOM apenas com os seus dados legítimos. Assim, renomear a extensão do ficheiro para .exe não funcionou com o ficheiro higienizado. Como resultado, o código malicioso deixou de ser executável. Além disso, a integridade da estrutura do ficheiro é totalmente reservada, pelo que os utilizadores podem utilizar o ficheiro em segurança sem perda de usabilidade.
Deep CDR garante que todos os ficheiros que entram na sua organização não são prejudiciais, ajudando-o a evitar ataques de dia zero e malware evasivo. A nossa solução suporta a higienização de mais de 100 tipos de ficheiros comuns, incluindo PDF, ficheiros do Microsoft Office, HTML e muitos tipos de ficheiros de imagem.
Contacte-nos hoje para saber mais sobre as tecnologias avançadas do OPSWAT e saber como proteger a sua organização de forma abrangente.
Referência:
- "Biblioteca DICOM - Acerca do formato DICOM". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
