CVE-2026-42897 : Exchange OWA patché après un mois d'exploitation

Les faits

Le 9 juin 2026, dans le cadre du Patch Tuesday mensuel, Microsoft a publié le correctif KB5094139 pour CVE-2026-42897, une vulnérabilité de type cross-site scripting (XSS) dans Outlook Web Access (OWA) de Microsoft Exchange Server on-premises. Le score CVSS est de 8.1. La particularité de cette faille est qu'elle était exploitée activement depuis le 15 mai 2026 — date à laquelle la CISA l'avait ajoutée à son catalogue KEV — soit plus de trois semaines avant la disponibilité du patch définitif.

La vulnérabilité réside dans le traitement des emails entrants par OWA. Un attaquant peut forger un email spécialement conçu qui, lorsqu'il est ouvert ou prévisualisé dans OWA et soumis à certaines conditions d'interaction, déclenche l'exécution de code JavaScript arbitraire dans le contexte du navigateur de la victime. La classification est CWE-79 (improper neutralization of input during web page generation). L'exploitation ne nécessite aucun privilège de la part de l'attaquant : un simple compte email externe suffit pour envoyer l'email piégé.

Le destinataire doit ouvrir ou prévisualiser l'email dans OWA pour déclencher l'exploitation. Cette condition est facilement remplie dans un contexte professionnel où les collaborateurs consultent leurs emails via le navigateur, notamment hors des horaires de bureau ou depuis des postes sans client Outlook installé. Aucune interaction supplémentaire n'est requise une fois l'email ouvert.

Les conséquences d'une exploitation réussie sont multiples et sévères. Le code JavaScript s'exécutant dans la session OWA de la victime peut lire les emails et pièces jointes, exfiltrer les contacts, envoyer des messages au nom de la victime, voler le cookie de session pour une prise de contrôle complète du compte, ou déclencher des actions CSRF contre d'autres services internes partageant l'authentification SSO avec Exchange. Dans les architectures où OWA est le portail d'accès principal aux ressources d'entreprise, la surface d'attaque secondaire est considérable.

Dès le 15 mai 2026, Microsoft a déployé une mitigation temporaire via son Exchange Emergency Mitigation Service (EEMS). Ce mécanisme, disponible depuis Exchange Server 2019 CU10, permet de pousser automatiquement des règles de blocage vers les serveurs Exchange on-premises sans redémarrage du service. La mitigation EEMS bloquait le vecteur d'attaque spécifique identifié, réduisant significativement le risque pendant les trois semaines de développement du patch définitif. Elle ne constitue cependant pas un correctif permanent et peut être contournée si l'attaquant adapte sa technique.

La faille a été identifiée par l'équipe MSTIC (Microsoft Threat Intelligence Center) qui observait des exploitations actives avant même de disposer d'un correctif. Cette situation — exploitation active pendant plus de trois semaines sans patch disponible — est devenue courante en 2026 pour les vulnérabilités dans les plateformes de messagerie d'entreprise, qui sont des cibles prioritaires pour les groupes APT et cybercriminels en raison de la valeur des données qu'elles contiennent.

Les versions Exchange concernées couvrent l'ensemble du parc on-premises : Exchange Server 2016 (tous niveaux de CU), Exchange Server 2019 (tous niveaux de CU) et Exchange Server Subscription Edition (SE). Exchange Online n'est pas affecté — Microsoft gère directement les mises à jour de son infrastructure cloud. Cette différence illustre une fois de plus le défi posé par la maintenance des déploiements Exchange on-premises pour les organisations qui n'ont pas encore migré vers le cloud.

Les statistiques de déploiement restent significatives en Europe : un nombre important d'organisations maintiennent des serveurs Exchange on-premises pour des raisons réglementaires (RGPD, données sensibles, secteur public) ou de contraintes d'architecture. Ces organisations étaient précisément celles exposées et qui devaient s'appuyer sur la mitigation EEMS dans l'attente du patch du 9 juin 2026. Ce patch doit être appliqué sans attendre la prochaine fenêtre de maintenance planifiée.

Le patch KB5094139 pour Exchange SE RTM est disponible depuis le 9 juin 2026. Les correctifs pour Exchange 2016 et 2019 sont intégrés dans leurs Cumulative Updates respectives de juin 2026. Microsoft rappelle qu'il est impératif de ne pas attendre le prochain cycle de maintenance planifié compte tenu de l'exploitation active observée.

Impact et exposition

Toute organisation disposant d'Exchange Server on-premises (2016, 2019 ou SE) avec OWA exposé — directement sur Internet ou via un reverse proxy — est concernée. L'exploitation ne requiert aucun accès préalable de l'attaquant : l'envoi d'un email piégé depuis une adresse externe suffit. Les environnements sans pré-authentification MFA devant OWA, sans restriction d'accès par IP, ou sans filtrage d'emails avancé sont particulièrement vulnérables. Les organisations ayant migré vers Exchange Online sont hors de portée.

Recommandations

• Appliquer immédiatement KB5094139 pour Exchange SE, ou les Cumulative Updates de juin 2026 pour Exchange 2016 et 2019 — sans attendre la prochaine fenêtre de maintenance.
• Vérifier que l'Exchange Emergency Mitigation Service (EEMS) est actif et à jour sur tous les serveurs Exchange pendant la phase de déploiement du patch.
• Mettre en place une pré-authentification MFA devant OWA via Azure AD Application Proxy, ADFS ou un reverse proxy tiers.
• Auditer les logs OWA depuis le 15 mai 2026 : connexions depuis des IP inattendues, accès inhabituels à des boîtes aux lettres, envois d'emails non initiés par l'utilisateur légitime.
• Vérifier l'absence d'emails malveillants en quarantaine ou en boîte de réception susceptibles de déclencher l'exploitation si prévisualisés.
• Évaluer la migration vers Exchange Online pour les organisations sans contrainte réglementaire imposant le on-premises.