醫學數位成像和通訊 (DICOM) 是用於傳輸、儲存、搜尋、列印和顯示醫學成像資訊(如 X 射線、CT 掃描、MRI 和超聲)的國際標準。DICOM檔包括檔案格式定義和網路通訊協定。
DICOM 檔可以包含惡意軟體嗎?
DICOM 檔頭由 128 位元組的檔案前導碼和 4 位元組的 DICOM 前置綴組成。前導碼是相容性功能的一部分,旨在允許 DICOM 和非 DICOM 軟體處理醫學圖像檔。
- DICOM 查看器忽略檔前導碼,觀察 DICM 字串串,處理 DICOM 內容,並顯示 DICOM 圖像。
- TIFF 查看器可以使用檔前導碼中的偏移資訊來存取和顯示檔案中的圖像圖元資料,同時忽略其餘的 DICOM 內容。
不幸的是,這種前導碼設計可以為威脅參與者提供一種傳播惡意代碼的新方式。透過使用其他檔案類型(例如 .exe)的標頭,攻擊者可以將惡意軟體隱藏在其他常規 DICOM 檔案中。為醫院提供網路安全解決方案的公司 Cylera 發佈了該漏洞的技術細節和概念驗證 (PoC) 代碼,CVE 標識符為 CVE-2019-11687。
讓我們檢查 一個示例 ,看看 Deep CDR(檔案無毒化)如何解決這個問題:
在這種情況下,Deep CDR 刪除了未經批准的內容,並僅使用其合法資料重建了 DICOM 檔。因此,將檔案擴展名重命名為 .exe 不適用於清理的檔。因此,惡意代碼不再可執行。此外,檔案結構完整性是完全保留的,因此使用者可以安全地使用檔而不會失去可用性。
Deep CDR 確保進入您組織的每個檔都無害,説明您防止零時差攻擊和規避性惡意軟體。我們的解決方案支援對 100 多種常見檔案類型進行清理,包括 PDF、Microsoft Office 檔、HTML 和許多圖像檔案類型。
今天就聯繫我們,瞭解更多關於OPSWAT 先進的技術,並瞭解如何全面保護您的組織。
參考:
- “DICOM 庫 - 關於 DICOM 格式”。2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/。
- “D00rt/Pedicom”。2020. Github上。 https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
標籤:
