Exchange CVE-2026-42897 : zero-day OWA exploité, patch en cours

Ce qui s'est passé

Microsoft a publié le 14 mai 2026 un avis hors-cycle pour CVE-2026-42897, une vulnérabilité de spoofing reposant sur un défaut de neutralisation des entrées dans Outlook Web Access. Le score CVSS attribué est 8.1, mais la simplicité du vecteur — un simple mail spécialement formé — combinée à l'exploitation déjà observée dans la nature, a poussé l'éditeur à publier des recommandations immédiates avant même la disponibilité du correctif final. Le bulletin a été repris dans la nuit par Help Net Security, BleepingComputer, The Hacker News et Security Affairs, qui confirment tous l'existence d'attaques ciblées en cours.

Le déclencheur est un courriel HTML soigneusement construit. Lorsque la victime consulte le message via l'interface web d'Exchange (OWA), un script attaquant s'exécute dans le contexte du domaine de messagerie. Microsoft précise dans son bulletin que certaines conditions d'interaction utilisateur doivent être réunies, sans détailler publiquement la séquence exacte afin d'éviter d'offrir un mode d'emploi aux opérateurs ransomware. Les chercheurs de SOC Prime indiquent que la chaîne d'exploitation s'appuie sur une combinaison entre un en-tête forgé et un payload HTML qui passe les filtres de désinfection côté serveur avant d'être ré-injecté dans le DOM de la fenêtre OWA.

Les systèmes affectés sont Exchange Server Subscription Edition, Exchange Server 2019 et Exchange Server 2016 dans toutes leurs versions cumulatives publiées avant le mardi 14 mai. Exchange Online, hébergé par Microsoft, n'est pas vulnérable : la flotte cloud bénéficie d'une chaîne de désinfection HTML plus stricte et d'une politique CSP qui bloque l'exécution de scripts inline injectés via le rendu OWA. Selon les estimations partagées par Microsoft Threat Intelligence, environ 96 000 serveurs Exchange on-prem exposés en frontal restent vulnérables en Europe et en Amérique du Nord. Le panel inclut un nombre significatif d'opérateurs OIV/OSE français encore en transition vers Exchange Online.

Le chercheur ayant remonté la faille à Microsoft a été crédité de manière anonyme. Plusieurs publications, dont Security Affairs, suggèrent qu'il s'agirait d'un membre d'une équipe nationale de réponse à incidents ayant identifié l'attaque sur un client gouvernemental d'Europe occidentale. Microsoft Threat Intelligence n'a pas attribué l'opération à un acteur précis, mais souligne que le mode opératoire — courriel ciblé, payload OWA, exfiltration de cookies et de tokens — rappelle des campagnes attribuées dans le passé à Forest Blizzard et à Mint Sandstorm contre des cibles diplomatiques.

L'Exchange Emergency Mitigation Service constitue la première ligne de défense recommandée. Activé par défaut depuis 2021 sur tous les builds supportés, EEMS déploie automatiquement une règle de réécriture d'URL qui neutralise le vecteur d'attaque connu. Microsoft a poussé la nouvelle mitigation dans les heures qui ont suivi la divulgation. Les administrateurs qui ont désactivé EEMS pour des raisons de stabilité doivent impérativement le réactiver via la cmdlet Get-OrganizationConfig avec le commutateur MitigationsEnabled. Frankys Web, l'un des blogs de référence pour la communauté Exchange en Allemagne, signale néanmoins que l'EEMS ne couvre pas les configurations où OWA est publié derrière un reverse proxy modifiant les en-têtes Host, scénario fréquent dans les architectures DMZ historiques.

Au-delà de la mitigation immédiate, Microsoft enjoint les administrateurs à passer en revue les logs IIS pour repérer les requêtes POST atypiques vers ecp/owa contenant des fragments JavaScript ou des séquences de caractères Unicode invisibles. Les indicateurs de compromission publiés par Microsoft Security Response Center incluent plusieurs en-têtes X-MS-Exchange-Organization personnalisés, ainsi qu'un user-agent imitant Outlook for Mac 16.83. La présence de ces marqueurs dans les logs antérieurs au 14 mai indique une compromission probable et appelle une investigation forensique complète, incluant l'invalidation de tous les tokens OAuth émis depuis le serveur affecté.

Le patch officiel est attendu pour le Patch Tuesday de juin 2026. Microsoft précise que la complexité du chemin de code OWA impose une qualification fine pour éviter les régressions sur les pièces jointes signées S/MIME et sur les calendriers partagés. Dans l'intervalle, les organisations qui exploitent encore Exchange 2016 sont fortement invitées à accélérer leur migration : la version arrive en fin de support étendu en octobre 2026 et ne recevra plus que les patchs critiques jusqu'à cette échéance.

Pourquoi c'est important

L'ancrage on-prem d'Exchange en Europe demeure massif. Selon une étude récente du cabinet Wavestone, environ 41 % des entreprises françaises du SBF 120 hébergent encore tout ou partie de leur messagerie sur Exchange 2016 ou 2019 pour des raisons de souveraineté, d'intégration avec des PABX historiques ou de coûts de licences Microsoft 365. CVE-2026-42897 vient frapper précisément ce segment, déjà éprouvé par ProxyLogon en 2021, ProxyShell en 2021, et plus récemment Dead.Letter sur Exim. La répétition des zero-day sur la couche frontale de messagerie illustre la difficulté structurelle de maintenir un parser HTML et une logique d'authentification cohérents sur une base de code dont les racines remontent à 1996.

Pour les RSSI, l'alerte est double. D'une part, la fenêtre d'exposition entre la divulgation et le correctif réel — environ trois semaines — est un risque opérationnel majeur quand l'exploitation est déjà active. D'autre part, la dépendance à EEMS comme bouclier de premier rideau renforce la nécessité d'auditer la posture de patch automatique : selon Censys, près de 12 % des serveurs Exchange exposés tournent encore sur des builds antérieurs à novembre 2025, hors du périmètre des mitigations URL Rewrite poussées par Microsoft.

Le contexte réglementaire pèse également. Sous NIS2, transposée en France par la loi du 8 avril 2025, les opérateurs essentiels et importants doivent notifier l'ANSSI dans les 24 heures d'un incident significatif. Une exploitation de CVE-2026-42897 sur un système de messagerie traitant des données personnelles relève de cette obligation. Les premiers feedbacks remontés via le CERT-FR indiquent qu'au moins trois entités du secteur public régional ont déjà déclaré une exposition probable à la faille, avec invocation de la procédure de mise en quarantaine prévue par le guide d'hygiène ANSSI.

Enfin, la dimension géopolitique ne peut pas être ignorée. Les zero-day Exchange ont historiquement servi de pivot à des campagnes d'espionnage de longue durée : ProxyLogon a permis à Hafnium d'accéder à des dizaines de milliers de boîtes aux lettres gouvernementales. Si l'attribution publique reste prudente, le profil technique de CVE-2026-42897 — payload silencieux, faible empreinte log, exfiltration de cookies de session — colle au mode opératoire des opérations APT plutôt qu'à celui des affiliés ransomware. Les équipes SOC sont invitées à corréler les détections avec les patterns de Cobalt Strike Beacon récents et avec l'usage du framework SocGholish sur les postes administrateurs.

Ce qu'il faut retenir

• Patcher dès la publication du correctif final (Patch Tuesday de juin), maintenir EEMS activé et auditer les logs IIS pour les indicateurs publiés par MSRC.
• Considérer toute boîte aux lettres OWA exposée comme un actif à haut risque tant que la mitigation URL Rewrite n'est pas confirmée déployée.
• Saisir CVE-2026-42897 comme déclencheur de l'accélération du plan de migration vers Exchange Online ou vers une plateforme alternative souveraine.