Im Screenshot oben ist ein typisches Szenario zu sehen:
Mehrere Zertifikat-Templates sind auf einer Enterprise-CA veröffentlicht, und mächtige Gruppen wie Domain Admins, Enterprise Admins oder sogar Authenticated Users besitzen weitreichende Berechtigungen (Enroll, GenericAll, AllExtendedRights).

Solche Konstellationen sind riskant:

• Mit Enroll und schwachen Templates lassen sich Zertifikate beantragen, die Anmeldungen als beliebiger Benutzer ermöglichen.

• Mit GenericAll oder AllExtendedRights können Templates manipuliert werden – Grundlage für Angriffe wie ESC1 oder ESC6.

• Ein ausgestelltes Zertifikat ist langlebig und umgeht Kontrollen wie Passwort-Änderungen oder MFA.

Doch wer überprüft regelmäßig, welche Gruppen und Benutzer tatsächlich Zugriff auf die Zertifikat-Templates haben?

Beispielabfrage: Templates mit gefährlichen Berechtigungen

MATCH p=(t:CertTemplate)<-[:Enroll|:GenericAll|:AllExtendedRights]-(n:Group|User) RETURN p LIMIT 25;`

Hybrid-Pfade in der Praxis

BloodHound 8 macht es möglich, klassische AD-Pfade mit Cloud-Kanten zu kombinieren. Ein Beispiel:

• GitHub Secret → Azure Service Principal → Resource Group → Key Vault → Prod-Systeme

Beispielabfrage: GitHub Secret → Azure SPN

MATCH p=(:GitHubRepo)-[:HasSecret]->(:Secret)-[:AuthenticatesAs]->(:AZServicePrincipal) RETURN p LIMIT 10;

Beispielabfrage: PIM-Elevation in Entra

MATCH p=(u:AZUser)-[:EligibleFor]->(:AZPIMRole)-[:ElevatesTo]->(:AZRole) RETURN p LIMIT 10;

Fazit

BloodHound 8 verbindet die neuen Cloud-Funktionen mit den klassischen AD-Pfaden in einem einzigen Graphen. Für Assessments und Red Teamings entsteht damit ein vollständigeres Bild – von GitHub-Secrets über PIM-Rollen in Azure bis hin zu schwach abgesicherten Zertifikatsvorlagen im AD.

Wir bei Mint Secure setzen BloodHound 8 bereits in Projekten ein, um hybride Angriffsflächen sichtbar zu machen und Unternehmen genau dort zu sensibilisieren, wo Risiken oft übersehen werden.