CVE-2026-42897 : Exchange Server zero-day XSS exploité via email piégé — patch juin 2026 requis

Les faits

Le 9 juin 2026, dans le cadre du Patch Tuesday, Microsoft a corrigé CVE-2026-42897, une vulnérabilité de type Cross-Site Scripting (XSS) affectant Outlook Web Access (OWA) dans Exchange Server on-premises. Ce qui distingue cette faille : elle était déjà activement exploitée avant la publication du patch, marquée zero-day dans les notes de publication de Microsoft.

Le vecteur d'exploitation est particulièrement insidieux. Un attaquant envoie un email spécialement forgé à une victime utilisant OWA. Dès que la victime ouvre ou prévisualise le message dans son navigateur, le payload JavaScript malveillant s'exécute dans le contexte de la session OWA de l'utilisateur. Ce type d'attaque — "stored XSS via email" — ne requiert aucune interaction complexe au-delà de l'ouverture d'un email, action que tout utilisateur effectue quotidiennement.

CVE-2026-42897 est classée comme faille de spoofing avec un score CVSS de 8.1. Elle résulte d'une neutralisation incorrecte des entrées utilisateur lors de la génération des pages web dans Exchange Server, permettant l'injection et l'exécution de JavaScript arbitraire dans le contexte du navigateur de la victime. Selon BleepingComputer et The Hacker News, les attaquants exploitant cette vulnérabilité peuvent voler les jetons de session OWA, détourner des comptes Exchange, accéder aux emails et pièces jointes, et dans certaines configurations pivoter vers d'autres systèmes connectés à l'infrastructure Exchange.

Le CERT-FR a mis à jour son bulletin d'alerte concernant CVE-2026-42897 le 11 juin 2026, soulignant l'urgence de l'application des correctifs pour les Exchange Server on-premises. Cette mise à jour est intervenue alors que les premières observations d'exploitation active remontaient à fin mai 2026, soit plusieurs semaines avant que Microsoft reconnaisse publiquement le problème. Pendant cette fenêtre, les organisations disposant d'Exchange Server accessibles via OWA sur Internet ont potentiellement été exposées sans défense disponible.

Exchange Online (Microsoft 365) n'est pas affecté selon Microsoft — la vulnérabilité est spécifique aux déploiements on-premises. Néanmoins, dans les environnements hybrides où un Exchange Server on-premise est utilisé en passerelle ou pour la gestion de boîtes aux lettres locales, le risque reste bien réel. En France notamment, une proportion significative des grandes entreprises et administrations maintient des déploiements Exchange hybrides pour des raisons de souveraineté des données ou de contraintes de licences.

L'impact potentiel dépasse le simple vol de session. Dans un environnement Exchange, un attaquant ayant compromis la session OWA d'un administrateur accède aux paramètres serveur, aux règles de transport des emails, et potentiellement aux interfaces d'administration EAC (Exchange Admin Center). Des campagnes d'espionnage attribuées à des acteurs étatiques ont historiquement privilégié les vulnérabilités Exchange pour cette raison — une compromission réussie offre une visibilité totale sur l'ensemble des communications internes d'une organisation.

Microsoft a publié des Security Updates pour Exchange SE RTM, Exchange Server 2019 CU14 et CU15, et Exchange Server 2016 CU23. Pour les organisations sur des versions antérieures, Exchange Server 2013 est en fin de vie depuis le 11 avril 2023 et ne reçoit plus de correctifs de sécurité — une exposition particulièrement dangereuse dans ce contexte. À titre de mitigation temporaire, Microsoft recommandait de désactiver certaines fonctionnalités de rendu OWA, mesure relayée par le CERT-FR avant la disponibilité du patch définitif.

CVE-2026-42897 s'inscrit dans une série continue de vulnérabilités OWA critiques : ProxyLogon (2021), ProxyShell (2021), ProxyNotShell (2022), OWASSRF (2022), CVE-2025-21265 (2025). Exchange Server on-premises demeure une cible de premier choix pour les groupes APT et les opérateurs de ransomware — son accessibilité depuis Internet, sa richesse fonctionnelle et la valeur des données qu'il héberge en font un point d'entrée privilégié justifiant un patching aussi prioritaire que celui des contrôleurs de domaine.

Impact et exposition

Les organisations exposées sont celles disposant d'Exchange Server on-premises accessible via OWA depuis Internet, avec des versions non patchées au 9 juin 2026. Les utilisateurs OWA constituent la surface d'attaque directe, mais l'impact peut s'étendre à l'ensemble de l'infrastructure Exchange si un compte administrateur est ciblé. En environnement hybride, un risque de propagation latérale existe si des synchronisations d'identité sont en place.

Recommandations

• Installer immédiatement les Security Updates Microsoft de juin 2026 pour Exchange Server (Exchange SE RTM, 2019 CU14/CU15, 2016 CU23)
• Maintenir la mitigation OWA déployée par Microsoft comme couche de défense supplémentaire même après application du patch
• Restreindre l'accès OWA aux seules IPs légitimes via WAF ou reverse proxy si l'exposition Internet est nécessaire
• Auditer les journaux d'accès OWA (IIS logs) depuis le 15 mai 2026 pour détecter des sessions anormales
• Vérifier l'absence de règles de transport email ou de redirections de boîtes aux lettres créées récemment sans autorisation
• Pour Exchange 2013 ou antérieur : migrer en urgence vers une version supportée ou Exchange Online