El estándar DICOM (Digital Imaging and Communications in Medicine) es una norma internacional para la transmisión, el almacenamiento, la recuperación, la impresión y la visualización de imágenes médicas e información e, como radiografías, tomografías computarizadas, resonancias magnéticas y ecografías. Un archivo DICOM incluye una definición del formato de archivo y un protocolo de comunicaciones de red.
¿Puede un archivo DICOM contener malware?

El encabezado del archivo DICOM consta de un preámbulo de 128 bytes, seguido de un prefijo DICOM de 4 bytes. El preámbulo forma parte de una función de compatibilidad diseñada para permitir que los archivos de imágenes médicas puedan ser procesados tanto por software DICOM como por software no DICOM.
- Un visor DICOM ignora el preámbulo del archivo, analiza la cadena DICOM, procesa el contenido DICOM y muestra las imágenes DICOM.
- Un visor de archivos TIFF puede utilizar la información de desplazamiento que figura en el preámbulo del archivo para acceder a los datos de píxeles de la imagen y mostrarlos, sin tener en cuenta el resto del contenido DICOM.
Lamentablemente, este diseño del preámbulo puede ofrecer a los ciberdelincuentes una nueva forma de propagar código malicioso. Al utilizar un encabezado de otro tipo de archivo, por ejemplo, .exe, los atacantes pueden ocultar malware en un archivo DICOM que, por lo demás, parece normal. Cylera, una empresa que ofrece soluciones de ciberseguridad para hospitales, ha publicado detalles técnicos y código de prueba de concepto (PoC) sobre esta vulnerabilidad, a la que se le ha asignado el identificador CVE CVE-2019-11687.
Analicemos un ejemplo y veamos cómo funciona la tecnología Deep CDR™ (Content Disarm and Reconstruction)puede resolver el problema:
En este caso, la tecnología Deep CDR™ eliminó el contenido no autorizado y reconstruyó el archivo DICOM incluyendo únicamente los datos legítimos. Por lo tanto, cambiar la extensión del archivo a .exe no funcionó con el archivo depurado. Como resultado, el código malicioso ya no es ejecutable. Además, se mantiene íntegramente la integridad de la estructura del archivo, por lo que los usuarios pueden utilizarlo con total seguridad sin que se vea afectada su funcionalidad.
La tecnología Deep CDR™ garantiza que ningún archivo que entre en su organización resulte perjudicial, lo que le ayuda a prevenir ataques de día cero y malware evasivo. Nuestra solución permite la desinfección de más de 100 tipos de archivos habituales, entre los que se incluyen PDF, archivos de Microsoft Office, HTML y numerosos formatos de imagen.
Póngase en contacto con nosotros hoy mismo para conocer mejor las tecnologías OPSWAT de OPSWAT y descubrir cómo proteger su organización de forma integral.
Referencia:
- «Biblioteca DICOM: Acerca del formato DICOM». 2020. Dicomlibrary.Com. https://www.dicomlibrary.com/dicom/.
- «D00rt/Pedicom». 2020. GitHub. https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
