CVE-2026-42897 : 0-day Exchange OWA, alerte CERT-FR ALE-005

Les faits

Le 14 mai 2026, Microsoft a publie un avis de securite concernant CVE-2026-42897, une vulnerabilite de type cross-site scripting (XSS) affectant Outlook Web Access (OWA) dans Exchange Server. Contrairement a de nombreuses divulgations recentes, Microsoft a confirme des le premier jour que la faille etait activement exploitee dans la nature, un signal d alarme majeur qui a immediatement declenche une reponse coordonnee de la communaute cybersecurite internationale. Le CERT-FR a publie l alerte CERTFR-2026-ALE-005 le meme jour, classant le risque comme une injection de code a distance indirecte et un contournement de politique de securite.

Sur le plan technique, CVE-2026-42897 est classee CWE-79 (Improper Neutralization of Input During Web Page Generation) avec un score CVSS v3.1 de 8.1. Le vecteur d attaque est reseau (AV:N), la complexite est faible (AC:L), aucun privilege n est requis (PR:N), mais une interaction utilisateur est necessaire (UI:R). La confidentialite, l integrite et la disponibilite sont toutes affectees avec un impact eleve (C:H, I:H, A:H). Cette configuration en fait une vulnerabilite particulierement dangereuse malgre son CVSS de 8.1 : l absence de prerequis d authentification cote attaquant compense largement l interaction utilisateur necessaire.

La cause racine reside dans une neutralisation insuffisante du contenu des e-mails entrants lors de leur rendu dans l interface web OWA. Exchange Server ne parvient pas a assainir correctement certains elements HTML ou JavaScript embarques dans les e-mails avant de les afficher dans le navigateur. Lorsqu un utilisateur ouvre un e-mail malveillant via OWA, le code JavaScript injecte s execute dans le contexte de sa session authentifiee avec tous les droits qui lui sont associes. Il ne s agit donc pas d une compromission directe du serveur Exchange, mais d une attaque cote client qui abuse de la session OWA de la victime.

La chaine d exploitation est simple mais redoutable : l attaquant redige un e-mail contenant une charge utile JavaScript soigneusement construite et l envoie a une cible. La cible ouvre l e-mail dans OWA sur son navigateur, l action la plus banale du quotidien d un employe de bureau. Le script malveillant s execute instantanement dans le contexte de la session authentifiee, permettant a l attaquant de voler le jeton de session (session token), d usurper l identite de la victime, de lire ou exfiltrer des e-mails, de creer des regles de messagerie malveillantes (forward automatique vers un compte externe, suppression silencieuse d alertes de securite), et de pivoter vers d autres ressources accessibles via le navigateur de la victime.

La dangerosite de cette faille est amplifiee par le fait qu aucune interaction complexe n est requise du cote de la victime : il suffit d ouvrir l e-mail. Pas de piece jointe a telecharger, pas de macro a activer, pas de lien a cliquer. Le simple affichage dans OWA suffit a declencher l execution du payload. Cette caracteristique la rapproche des vulnerabilites zero-click, meme si une ouverture manuelle est techniquement requise.

Concernant les versions affectees, Exchange Server 2016 dans toutes ses Cumulative Updates, Exchange Server 2019 dans toutes ses CU, et Exchange Server Subscription Edition (SE) sont impactees. Exchange Online (heberge par Microsoft dans Microsoft 365) n est pas affecte, ce qui constitue une difference importante pour les organisations en cours de migration vers le cloud. Les installations Exchange hybrides (coexistence on-premises et Exchange Online) restent exposees du cote on-premises.

La CISA a ajoute CVE-2026-42897 a son catalogue Known Exploited Vulnerabilities (KEV) des le 15 mai 2026, soit le lendemain de la divulgation publique. D apres les analyses publiees par SOCPrime et Security Affairs, les campagnes d exploitation observees ciblent principalement des organisations gouvernementales, des entreprises financieres et des cabinets d avocats. La vitesse d industrialisation de l attaque, avec des tentatives d exploitation documentees des les heures suivant la publication de l advisory, indique que la vulnerabilite etait potentiellement connue d acteurs malveillants avant la divulgation publique. Ce scenario de zero-day weaponized avant divulgation est caracteristique des groupes avances, etatiques ou cybercriminels organises.

Aucun patch definitif n avait ete publie au moment de la redaction de cet article. Microsoft a deploye une mitigation d urgence via le service Exchange Emergency Mitigation Service (EEMS), qui ajoute automatiquement une regle de reecriture d URL bloquant le vecteur d exploitation connu. Cette mitigation est deployee automatiquement sur les serveurs Exchange ayant EEMS active par defaut. Certains effets de bord ont ete documentes par Microsoft : les fonctionnalites d impression du calendrier OWA peuvent dysfonctionner, les images integrees aux e-mails peuvent ne pas s afficher correctement dans le panneau de lecture OWA, et OWA Light (version allegee) peut presenter des dysfonctionnements. Ces effets de bord sont acceptables au regard du risque represente par l exploitation active de cette faille zero-day.

Impact et exposition

L exposition est considerable : selon les estimations de Shodan et des chercheurs de Rapid7 publiees mi-mai 2026, environ 45 000 instances Exchange Server on-premises sont accessibles directement depuis Internet. Parmi celles-ci, la majorite sont des deployements non migres vers Exchange Online, souvent dans des PME, administrations locales et etablissements de sante qui n ont pas encore realise leur transition cloud. Ces organisations constituent des cibles privilegiees car elles disposent souvent de ressources limitees pour appliquer les mitigations d urgence rapidement.

Les conditions d exploitation sont minimales : un attaquant externe non authentifie peut envoyer un e-mail piege sans connaitre au prealable les informations d authentification de la victime. La seule condition est que la victime ouvre l e-mail dans OWA et non dans le client Outlook lourd, qui n est pas affecte. Dans les environnements ou OWA est le principal client de messagerie, notamment pour le teletravail ou l acces mobile, le risque est maximum.

Les consequences d une exploitation reussie vont bien au-dela du seul compte e-mail compromis. Un attaquant ayant vole le jeton de session OWA d un administrateur Exchange peut potentiellement modifier des regles de transport globales, acceder a des boites partagees sensibles (Direction, RH, Finance, Juridique), et etablir une persistance discrete via des regles de forward invisibles a l utilisateur. Dans les environnements ou OWA est connecte a d autres applications Microsoft 365 via SSO, la surface d attaque peut s etendre davantage.

D apres les analyses de l equipe d Apolocybersecurity et d IT-Connect, les attaquants utilisent des techniques de reconnaissance prealable (OSINT sur les adresses e-mail professionnelles) pour cibler des profils a haute valeur : RSSI, DSI, directeurs financiers, membres du conseil d administration. La sophistication des campagnes observees suggere des acteurs etatiques ou des groupes de cybercriminels avances plutot qu une exploitation opportuniste de masse.

Recommandations immediates

• Verifier que le service Exchange Emergency Mitigation (EEMS) est active sur tous les serveurs Exchange via la cmdlet PowerShell : Get-ExchangeDiagnosticInfo -Server ServeurExchange -Process MSExchangeHM -Component VariantConfiguration -Waittime 0
• Si EEMS est desactive, appliquer manuellement la regle de reecriture URL decrite dans le Microsoft Security Response Center pour CVE-2026-42897
• Surveiller les journaux IIS et OWA pour detecter des regles de messagerie inhabituelles, des forwards vers des domaines externes, ou des connexions depuis des adresses IP inconnues
• Envisager de restreindre l acces OWA aux seuls reseaux de confiance (VPN, plages IP internes) pendant la periode sans patch definitif
• Appliquer le patch officiel des sa publication - advisory : Microsoft Security Response Center, CVE-2026-42897
• Indicateurs de compromission : surveiller les regles Inbox de type ForwardTo creees apres le 14 mai 2026, et les connexions OWA depuis des User-Agents inhabituels ou des adresses IP geographiquement incoherentes