醫學數位成像和通訊 (DICOM) 是用於傳輸、儲存、搜尋、列印和顯示醫學成像資訊(如 X 射線、CT 掃描、MRI 和超聲)的國際標準。DICOM檔包括檔案格式定義和網路通訊協定。
DICOM 檔可以包含惡意軟體嗎?
DICOM 檔頭由 128 位元組的檔案前導碼和 4 位元組的 DICOM 前置綴組成。前導碼是相容性功能的一部分,旨在允許 DICOM 和非 DICOM 軟體處理醫學圖像檔。
- DICOM 查看器忽略檔前導碼,觀察 DICM 字串串,處理 DICOM 內容,並顯示 DICOM 圖像。
- TIFF 查看器可以使用檔前導碼中的偏移資訊來存取和顯示檔案中的圖像圖元資料,同時忽略其餘的 DICOM 內容。
不幸的是,這種前導碼設計可以為威脅參與者提供一種傳播惡意代碼的新方式。透過使用其他檔案類型(例如 .exe)的標頭,攻擊者可以將惡意軟體隱藏在其他常規 DICOM 檔案中。為醫院提供網路安全解決方案的公司 Cylera 發佈了該漏洞的技術細節和概念驗證 (PoC) 代碼,CVE 標識符為 CVE-2019-11687。
讓我們透過一個範例來了解 Deep CDR™ 技術(內容無害化與重建技術)如何解決這個問題:
在此情況下,Deep CDR™ 技術移除了未經核准的內容,並僅使用合法資料重建了 DICOM 檔案。因此,將檔案副檔名改為 .exe 的做法對經過淨化的檔案無效。結果,惡意程式碼已無法執行。此外,檔案結構的完整性也完全保留,使用者可安全地使用該檔案,且不會影響其可用性。
Deep CDR™ 技術可確保進入貴組織的每個檔案均無害,協助您防範零日攻擊與隱蔽型惡意軟體。我們的解決方案支援對超過 100 種常見檔案類型進行淨化處理,包括 PDF、Microsoft Office 檔案、HTML 以及多種圖像檔案格式。
今天就聯繫我們,瞭解更多關於OPSWAT 先進的技術,並瞭解如何全面保護您的組織。
參考:
- “DICOM 庫 - 關於 DICOM 格式”。2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/。
- “D00rt/Pedicom”。2020. Github上。 https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
標籤:
