CVE-2026-42897 : zero-day Exchange OWA exploité en XSS spoofing

Les faits

Microsoft a publié le 14 mai 2026 un advisory hors cycle reconnaissant l'exploitation active d'une vulnérabilité zero-day affectant Exchange Server on-premises. Référencée CVE-2026-42897, la faille est notée CVSS 8.1 (vecteur AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N) et qualifiée de high-severity. Le CERT-FR a relayé l'alerte via le bulletin CERTFR-2026-AVI-0599 du 15 mai, recommandant aux administrateurs de surveiller en continu les communications de l'éditeur en attendant un correctif définitif.

La vulnérabilité réside dans le moteur de rendu HTML utilisé par Outlook Web Access (OWA) pour afficher les courriels entrants. Microsoft décrit le bug comme un défaut de « neutralisation incorrecte des données pendant la génération de page web » — autrement dit, un cross-site scripting (XSS) classifié CWE-79. Lorsqu'un utilisateur ouvre dans OWA un email forgé contenant une charge utile JavaScript spécialement encodée, le script s'exécute dans le contexte du domaine OWA. L'attaquant obtient alors une exécution de code côté client avec les privilèges de la session web de la victime.

Les conséquences concrètes sont sévères. Un attaquant disposant d'une exécution JavaScript dans OWA peut détourner la session HTTP en cours, exfiltrer le cookie d'authentification, lire et envoyer des courriels au nom de la victime, manipuler les règles de boîte de réception (auto-forward vers une adresse externe, suppression silencieuse), ou pivoter vers d'autres services SSO partageant le contexte du navigateur. Microsoft confirme dans son advisory que la chaîne d'exploitation observée combine spoofing du domaine expéditeur et exécution XSS, ce qui rend la détection par les passerelles de messagerie particulièrement difficile.

La chronologie de la découverte n'a pas été détaillée publiquement par Microsoft, mais plusieurs sources de threat intelligence indiquent que l'exploitation aurait été repérée par un partenaire MSTIC dans le cadre d'une campagne de cyberespionnage ciblant des organisations gouvernementales et des prestataires de défense. L'éditeur n'a attribué la campagne à aucun acteur étatique nommé, contrairement à ce qui avait été fait pour la chaîne ProxyLogon en 2021 ou pour la CVE-2026-40361 BadWinmail récemment couverte dans notre alerte sur le RCE zero-click Outlook.

D'un point de vue technique, l'exploitation repose sur un encodage particulier des entités HTML dans certains champs structurés du courriel (notamment le sujet et les en-têtes étendus X-MS-Exchange). Le sanitizer interne d'Exchange omet de neutraliser correctement les séquences combinant guillemets simples, attributs onerror et balises SVG. Lorsque OWA reconstruit la prévisualisation côté serveur, le balisage est injecté tel quel dans le DOM, déclenchant l'exécution du payload à l'ouverture du message. Aucune interaction supplémentaire au-delà de l'ouverture du courriel n'est requise, ce qui place la faille dans la catégorie « low click » plutôt que strictement zero-click.

Au moment de la publication, aucun proof-of-concept public n'a été publié sur les dépôts habituels comme exploit-db ou GitHub, mais plusieurs chercheurs ont confirmé sur Mastodon et BlueSky avoir reproduit la faille à partir des indicateurs partagés par Microsoft. La fenêtre entre la divulgation publique et la disponibilité d'un exploit fiable est estimée à 48 à 72 heures par les analystes de Rapid7 et SecurityWeek, ce qui doit motiver les équipes blue team à activer les mitigations sans attendre.

Microsoft n'a pas communiqué de date de publication pour un correctif définitif. L'éditeur a explicitement précisé que le prochain Patch Tuesday de juin 2026 ne contiendra pas nécessairement le fix, et que celui-ci pourrait faire l'objet d'une mise à jour out-of-band. En attendant, deux mitigations sont disponibles : la première est appliquée automatiquement via l'Exchange Emergency Mitigation Service (EEMS), activé par défaut sur toutes les versions supportées d'Exchange Server ; la seconde est manuelle et consiste à désactiver l'aperçu HTML enrichi dans OWA via les paramètres OwaMailboxPolicy.

Selon les données collectées par Shadowserver et Censys, environ 220 000 serveurs Exchange on-premises restent exposés sur Internet à l'échelle mondiale, dont près de 9 000 en France. Les organisations qui n'ont pas migré vers Exchange Online ou qui maintiennent des déploiements hybrides constituent la cible privilégiée des attaquants. L'exposition est aggravée par le fait que beaucoup de ces serveurs accumulent des retards de patching dépassant six mois, comme l'avait déjà souligné le CERT-FR dans son rapport annuel 2025.

Impact et exposition

Toute organisation exploitant Exchange Server 2016, 2019 ou Subscription Edition avec OWA accessible depuis Internet est vulnérable. Les déploiements hybrides Exchange/Microsoft 365 sont également concernés dès lors qu'un serveur Exchange on-premises reste actif pour la coexistence ou la gestion des objets Active Directory. Les services managés de messagerie hébergés chez des prestataires français figurent en première ligne, car ils mutualisent souvent plusieurs centaines de boîtes aux lettres par instance.

L'exploitation observée vise des comptes à privilèges élevés : administrateurs, dirigeants, équipes juridiques et financières. Le scénario type combine un email de phishing sophistiqué imitant un correspondant légitime, déclenchant l'exécution XSS, puis l'installation discrète de règles de redirection sortantes pour exfiltrer la correspondance. Plusieurs incidents ont également documenté l'utilisation de la faille comme tête de pont pour atteindre des services tiers via des sessions SSO partagées (SharePoint, Teams, Power BI).

La surface d'attaque est élevée car aucune authentification préalable n'est requise du côté de l'attaquant : il suffit de pouvoir envoyer un courriel à la victime. Les filtres anti-spam classiques peinent à détecter les charges utiles XSS encodées dans les en-têtes Exchange, et les solutions EDR centrées sur les endpoints ne couvrent pas l'exécution JavaScript dans le navigateur. Une visibilité minimale nécessite une couche de Web Application Firewall devant OWA et un monitoring continu des règles de boîte de réception créées hors interaction utilisateur.

Les organisations soumises à des obligations sectorielles (OIV, OSE, opérateurs de santé, finance régulée) doivent considérer cette vulnérabilité comme un incident potentiel à déclarer à l'ANSSI si une exploitation est suspectée. La directive NIS2 impose une notification dans les 24 heures suivant la détection d'un incident significatif.

Recommandations immédiates

• Vérifier que l'Exchange Emergency Mitigation Service (EEMS) est actif et que la mitigation publiée par Microsoft le 14 mai 2026 (advisory Microsoft Security Response Center CVE-2026-42897) a bien été appliquée automatiquement.
• Désactiver temporairement l'aperçu HTML dans OWA via la commande PowerShell Set-OwaMailboxPolicy -Identity Default -AllowHTML $false pour les populations à risque.
• Restreindre l'accès à OWA depuis Internet aux IP de confiance ou via un VPN, et bloquer les autres flux entrants au niveau du reverse proxy.
• Activer la journalisation détaillée des règles de boîte de réception (New-InboxRule, Set-InboxRule) et alerter sur toute création de règle d'auto-forward externe.
• Surveiller les indicateurs de compromission publiés par MSTIC : domaines de C2 mentionnés dans les advisories Cisco Talos et Microsoft Threat Intelligence, hashes des payloads JavaScript identifiés.
• Revoir la posture globale Exchange en s'appuyant sur les recommandations du guide ANSSI « Sécurisation de la messagerie d'entreprise » (édition 2024).