CVE-2026-42897 : XSS Exchange OWA exploité, alerte CERT-FR

Les faits

CVE-2026-42897 est une vulnérabilité de type Cross-Site Scripting (XSS) réfléchi affectant le composant Outlook Web Access (OWA) des versions on-premises de Microsoft Exchange Server. Son score CVSS 3.1 est de 8.1 (vecteur AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N), la classant en catégorie High. Son vecteur d'exploitation — un simple email envoyé à la victime — la rend particulièrement dangereuse dans les environnements d'entreprise où Exchange Server constitue le canal de communication central.

Sur le plan technique, CVE-2026-42897 est une faille dans le rendu de certains éléments HTML au sein d'OWA. Le composant vulnérable ne neutralise pas correctement certaines séquences d'encodage dans les en-têtes ou le corps d'un email spécialement forgé, permettant l'injection de code JavaScript malveillant dans la page OWA rendue par le navigateur de la victime. L'exploitation ne requiert aucun accès préalable à l'infrastructure Exchange : l'attaquant envoie simplement un email piégé à la cible. Lorsque la victime ouvre cet email dans OWA dans des conditions d'interaction spécifiques — précisées volontairement de façon vague par Microsoft dans son advisory afin de limiter la prolifération de l'exploit — le JavaScript malveillant s'exécute dans le contexte du navigateur avec les mêmes privilèges que la session OWA active.

Les conséquences d'une exploitation réussie sont multiples. En accédant au contexte JavaScript d'OWA, un attaquant peut voler les cookies de session pour usurper l'identité de la victime sans connaître ses credentials, effectuer des requêtes OWA en arrière-plan (lecture et exfiltration de mails, modification de règles de messagerie, transferts automatiques), injecter du phishing supplémentaire dans l'interface ou déclencher des téléchargements de malwares via des redirections JavaScript. Dans les déploiements Exchange intégrés à Active Directory, la compromission d'un compte Exchange d'un utilisateur privilégié peut constituer le point de départ d'une escalade vers des droits d'administration sur l'infrastructure.

L'exploitation de CVE-2026-42897 a été confirmée dans la nature avant même la publication du correctif. Microsoft a reconnu le 15 mai 2026 que la vulnérabilité était activement exploitée, comme rapporté par Help Net Security et SecurityAffairs. La CISA a ajouté CVE-2026-42897 à son catalogue Known Exploited Vulnerabilities (KEV) en mai 2026, avec une directive de remédiation sous 14 jours pour les agences fédérales. Le CERT-FR a publié l'alerte CERTFR-2026-ALE-005 le 15 mai 2026, mise à jour le 11 juin 2026 après disponibilité du patch, plaçant CVE-2026-42897 dans la liste des vulnérabilités prioritaires pour les administrations françaises et les opérateurs d'importance vitale (OIV).

Sur le plan de l'attribution, les incidents documentés impliquant CVE-2026-42897 ne montrent pas d'attribution publique à un acteur étatique spécifique au moment de la publication de cet article. Toutefois, les données historiques sont révélatrices : selon BleepingComputer, la CISA a ajouté 20 vulnérabilités Microsoft Exchange à son catalogue KEV sur les cinq dernières années, dont 14 ont été exploitées par des groupes de ransomware. Cette statistique illustre l'attractivité persistante d'Exchange Server comme cible, en raison de la sensibilité des données stockées et de la position centrale d'Exchange dans l'authentification des entreprises.

Microsoft a publié les correctifs pour CVE-2026-42897 dans le cadre du Patch Tuesday du 10 juin 2026. Les mises à jour concernent Exchange Server 2016 Cumulative Update 24 avec Security Update (CU24+SU), Exchange Server 2019 Cumulative Update 15 avec Security Update (CU15+SU), et Exchange Server Subscription Edition (SE) avec Security Update. Simultanément, Microsoft a activé automatiquement des mitigations d'urgence via l'Exchange Emergency Mitigation (EM) Service, intégré depuis Exchange 2019 CU8 et actif par défaut. Ce service a automatiquement déployé une mitigation OWA spécifique à CVE-2026-42897 sur les serveurs éligibles connectés à Internet.

Pour les environnements déconnectés ou air-gappés — typiques des OIV, administrations régaliennes ou infrastructures industrielles — Microsoft fournit l'Exchange On-Premises Mitigation Tool (EOMT), un script PowerShell qui applique manuellement les mitigations serveur par serveur. L'EOMT peut être exécuté sur des serveurs Exchange sans connectivité Internet en téléchargeant manuellement les définitions de mitigation depuis un autre système. Cette procédure est détaillée dans l'advisory Microsoft Security Response Center référencé CVE-2026-42897.

La nature de l'exploitation mérite une attention particulière dans le contexte français. Contrairement aux vulnérabilités RCE qui requièrent souvent un accès réseau spécifique, CVE-2026-42897 exploite le vecteur email — universel et incontournable. Un simple message envoyé depuis n'importe quelle adresse Internet suffit comme déclencheur. Les organisations ayant déployé des règles de filtrage email strictes (SPF, DKIM, DMARC, sandboxing antiphishing) peuvent bénéficier d'une couche de protection contre les emails forgés, mais ces mesures ne constituent pas une mitigation technique de la faille elle-même. Selon les données disponibles, plus de 50 000 serveurs Exchange on-premises restent exposés sur Internet à travers le monde, dont une proportion significative dans des collectivités territoriales et des hôpitaux français peu dotés en ressources IT.

La nature de l'exploitation in-the-wild avant disponibilité du patch — fenêtre d'exposition de plusieurs semaines entre la première exploitation confirmée (avant le 15 mai 2026) et le correctif (10 juin 2026) — illustre la nécessité pour les organisations de ne pas attendre les Patch Tuesday mensuels pour surveiller les alertes du CERT-FR et de la CISA. L'alerte CERTFR-2026-ALE-005 était disponible trois semaines avant le correctif Microsoft, offrant un signal d'avertissement actionnable pour activer les mitigations disponibles (EM Service, EOMT, restriction des accès OWA) en attendant le patch définitif.

Impact et exposition

CVE-2026-42897 affecte exclusivement les déploiements on-premises de Microsoft Exchange Server (2016, 2019, SE). Exchange Online (Microsoft 365) n'est pas concerné. En France, de nombreuses administrations publiques, collectivités territoriales, établissements de santé (GHT, CHU, EHPAD), cabinets d'avocats et d'expertise comptable, ainsi que des PME industrielles, opèrent encore des serveurs Exchange on-premises pour des raisons de souveraineté, de contraintes réglementaires sectorielles ou de coût de migration.

Le mode d'exploitation par email — sans interaction complexe requise au-delà de l'ouverture du message dans OWA — rend CVE-2026-42897 particulièrement redoutable pour les utilisateurs non techniques. Contrairement aux attaques de phishing classiques nécessitant de cliquer sur un lien ou d'ouvrir une pièce jointe, l'exploitation de cette XSS peut se déclencher simplement à l'affichage du message dans l'interface OWA. Les équipes de sécurité doivent traiter cette vulnérabilité comme un risque affectant l'ensemble des utilisateurs d'OWA, quelle que soit leur sensibilisation à la cybersécurité.

Les organisations n'ayant pas encore appliqué le Patch Tuesday de juin 2026 sont toujours exposées. Rappel technique important : les Security Updates Exchange doivent être installées sur la Cumulative Update compatible spécifiée dans l'advisory. Une SU appliquée sur une CU non prise en charge ne garantit pas la protection du système et peut introduire des instabilités.

Recommandations immédiates

• Appliquer les Cumulative Updates et Security Updates Exchange de juin 2026 — advisory Microsoft CVE-2026-42897 : Exchange 2016 CU24+SU, Exchange 2019 CU15+SU, Exchange SE+SU.
• Vérifier l'activation et l'état de l'Exchange Emergency Mitigation Service via PowerShell : Get-ExchangeDiagnosticInfo -Server NOMSERVEUR -Process MSExchangeHMWorker -Component EEMSAgent -Settings Enabled.
• Pour les environnements air-gappés : télécharger et exécuter l'Exchange On-Premises Mitigation Tool (EOMT) fourni dans l'advisory CVE-2026-42897.
• Activer la journalisation détaillée des accès OWA et auditer les sessions anormales depuis le 1er mai 2026 : IP inhabituelles, accès à des boîtes sensibles, modifications de règles de transfert automatique.
• Forcer la réinitialisation des sessions OWA actives et la rotation des mots de passe pour les comptes potentiellement ciblés (dirigeants, équipes financières, administrateurs).
• Configurer des alertes sur les créations de règles de transfert mail via PowerShell Exchange : Get-InboxRule | Where-Object {$_.ForwardTo -ne $null}.