CVE-2020-1472, или Zerologon. Обнаружение уязвимости Zerologon, уже вошла в число самых опасных уязвимостей, обнаруженных за последние годы. Это позволяет злоумышленнику взломать учетную запись компьютера контроллера домена и получить доступ к содержимому всей базы данных Active Directory. Для работы достаточно сетевого подключения к контроллеру домена организации.Мы провели исследование Zerologon и разработали различные методы обнаружения его использования: через события журнала аудита Windows, сетевой трафик и правила YARA. В этой статье мы подробно остановимся на каждом из них.