Digital Imaging and Communications in Medicine (DICOM) ist ein internationaler Standard für die Übertragung, Speicherung, Abfrage, den Druck und die Anzeige von Informationen aus der medizinischen Bildgebung, wie z. B. Röntgenaufnahmen, CT-Scans, MRIs und Ultraschall. Eine DICOM-Datei besteht aus einer Dateiformatdefinition und einem Netzwerkkommunikationsprotokoll.
Kann eine DICOM-Datei Schadsoftware enthalten?
Der DICOM-Dateikopf besteht aus einer 128 Byte langen Dateipräambel, gefolgt von einem 4 Byte langen DICOM-Präfix. Die Präambel ist Teil einer Kompatibilitätsfunktion, die es ermöglichen soll, dass medizinische Bilddateien sowohl von DICOM- als auch von Nicht-DICOM-Software verarbeitet werden können.
- Ein DICOM-Viewer ignoriert die Dateipräambel, beachtet den DICM-String, verarbeitet den DICOM-Inhalt und zeigt die DICOM-Bilder an.
- Ein TIFF-Viewer kann die Offset-Informationen in der Dateipräambel verwenden, um auf die Bildpixeldaten in der Datei zuzugreifen und sie anzuzeigen, während der restliche DICOM-Inhalt unberücksichtigt bleibt.
Leider kann dieses Präambel-Design Bedrohungsakteuren eine neue Möglichkeit zur Verbreitung von Schadcode bieten. Durch die Verwendung eines Headers eines anderen Dateityps, z. B. .exe, können Angreifer Malware in einer ansonsten normalen DICOM-Datei verstecken. Cylera, ein Unternehmen, das Cybersicherheitslösungen für Krankenhäuser anbietet, hat technische Details und Proof-of-Concept (PoC)-Code für diese Sicherheitslücke veröffentlicht, der die CVE-Kennung CVE-2019-11687 zugewiesen wurde.
Sehen wir uns ein Beispiel an und schauen wir uns an, wie die Deep CDR™-Technologie (Content Disarm and Reconstruction)dieses Problem lösen kann:
In diesem Fall hat die Deep CDR™-Technologie die nicht genehmigten Inhalte entfernt und die DICOM-Datei nur mit ihren legitimen Daten rekonstruiert. Daher funktionierte die Umbenennung der Dateiendung in .exe bei der bereinigten Datei nicht. Infolgedessen ist der bösartige Code nicht mehr ausführbar. Außerdem bleibt die Integrität der Dateistruktur vollständig erhalten, sodass Benutzer die Datei ohne Einbußen bei der Verwendbarkeit sicher nutzen können.
Die Deep CDR™-Technologie stellt sicher, dass keine schädlichen Dateien in Ihr Unternehmen gelangen, und hilft Ihnen so, Zero-Day-Angriffe und schwer zu erkennende Malware abzuwehren. Unsere Lösung unterstützt die Bereinigung von über 100 gängigen Dateitypen, darunter PDF, Microsoft Office-Dateien, HTML und viele Bilddateiformate.
Wenden Sie sich noch heute an uns, wenn Sie mehr über die fortschrittlichen Technologien von OPSWAT erfahren möchten, und lernen Sie, wie Sie Ihr Unternehmen umfassend schützen können.
Referenz:
- "DICOM-Bibliothek - Über das DICOM-Format". 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom". 2020. Github. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
