Digital Imaging and Communications in Medicine (DICOM) ist ein internationaler Standard für die Übertragung, Speicherung, Abfrage, den Druck und die Anzeige von Informationen aus der medizinischen Bildgebung, wie z. B. Röntgenaufnahmen, CT-Scans, MRIs und Ultraschall. Eine DICOM-Datei besteht aus einer Dateiformatdefinition und einem Netzwerkkommunikationsprotokoll.
Kann eine DICOM-Datei Schadsoftware enthalten?
Der DICOM-Dateikopf besteht aus einer 128 Byte langen Dateipräambel, gefolgt von einem 4 Byte langen DICOM-Präfix. Die Präambel ist Teil einer Kompatibilitätsfunktion, die es ermöglichen soll, dass medizinische Bilddateien sowohl von DICOM- als auch von Nicht-DICOM-Software verarbeitet werden können.
- Ein DICOM-Viewer ignoriert die Dateipräambel, beachtet den DICM-String, verarbeitet den DICOM-Inhalt und zeigt die DICOM-Bilder an.
- Ein TIFF-Viewer kann die Offset-Informationen in der Dateipräambel verwenden, um auf die Bildpixeldaten in der Datei zuzugreifen und sie anzuzeigen, während der restliche DICOM-Inhalt unberücksichtigt bleibt.
Leider kann dieses Präambel-Design Bedrohungsakteuren eine neue Möglichkeit zur Verbreitung von Schadcode bieten. Durch die Verwendung eines Headers eines anderen Dateityps, z. B. .exe, können Angreifer Malware in einer ansonsten normalen DICOM-Datei verstecken. Cylera, ein Unternehmen, das Cybersicherheitslösungen für Krankenhäuser anbietet, hat technische Details und Proof-of-Concept (PoC)-Code für diese Sicherheitslücke veröffentlicht, der die CVE-Kennung CVE-2019-11687 zugewiesen wurde.
Schauen wir uns ein Beispiel an und sehen wir, wie Deep CDR (Inhalt entschärfen und rekonstruieren)das Problem lösen kann:
In diesem Fall entfernte Deep CDR den nicht genehmigten Inhalt und rekonstruierte die DICOM-Datei nur mit den legitimen Daten. Die Umbenennung der Dateierweiterung in .exe funktionierte also nicht mit der bereinigten Datei. Infolgedessen ist der bösartige Code nicht mehr ausführbar. Außerdem bleibt die Integrität der Dateistruktur vollständig erhalten, so dass die Benutzer die Datei ohne Beeinträchtigung der Nutzbarkeit verwenden können.
Deep CDR stellt sicher, dass jede Datei, die in Ihr Unternehmen gelangt, nicht schädlich ist und hilft Ihnen, Zero-Day-Angriffe und ausweichende Malware zu verhindern. Unsere Lösung unterstützt die Bereinigung von über 100 gängigen Dateitypen, darunter PDF, Microsoft Office-Dateien, HTML und viele Bilddateiformate.
Wenden Sie sich noch heute an uns, wenn Sie mehr über die fortschrittlichen Technologien von OPSWAT erfahren möchten, und lernen Sie, wie Sie Ihr Unternehmen umfassend schützen können.
Referenz:
- "DICOM-Bibliothek - Über das DICOM-Format". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
