En bref

  • CVE-2026-42897 : zero-day XSS dans Outlook Web Access d'Exchange Server, exploitation active confirmée par Microsoft, CVSS 8.1
  • Systèmes affectés : Exchange Server 2016, 2019 et Subscription Edition on-premises uniquement — Exchange Online non touché
  • Action requise : activer immédiatement l'Emergency Mitigation Service (EEMS) et appliquer l'outil EOMT ; aucun patch permanent disponible à ce jour

Les faits

Le 14 mai 2026, Microsoft a publié une alerte de sécurité concernant CVE-2026-42897, une vulnérabilité de type cross-site scripting (XSS) affectant le composant Outlook Web Access (OWA) de ses serveurs Exchange on-premises. La faille a été assignée un score CVSS de 8.1 et ajoutée dès le 15 mai au catalogue des Known Exploited Vulnerabilities (KEV) de la CISA, qui a exigé des agences fédérales américaines une remédiation avant le 29 mai 2026.

La mécanique d'exploitation est d'une simplicité redoutable : l'attaquant envoie un email spécialement forgé à une cible. Lorsque le destinataire ouvre ce message dans l'interface web OWA, un payload JavaScript malveillant — insuffisamment sanitisé par le moteur de rendu d'OWA — s'exécute directement dans le contexte de la session navigateur de l'utilisateur. L'attaquant n'a pas besoin d'accéder physiquement au serveur Exchange, ni d'exploiter une faille réseau complexe : un simple email suffit.

Les conséquences d'une exploitation réussie sont graves : vol de jetons de session, usurpation de boîte mail, manipulation de règles de redirection, et potentiellement mouvement latéral au sein du réseau d'entreprise. Un attaquant disposant du jeton de session OWA d'un administrateur de messagerie peut lire l'ensemble des emails de l'organisation, créer des règles de redirection automatique vers des adresses externes, et extraire des données sensibles sans jamais se connecter directement au serveur Exchange.

Les versions on-premises affectées sont Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition, tous niveaux de mise à jour confondus. Exchange Online (Microsoft 365) n'est pas vulnérable, Microsoft gérant l'infrastructure dans ce cas. La distinction est capitale : les organisations ayant migré vers Exchange Online ne sont pas exposées, tandis que celles maintenant un Exchange on-premises — souvent des administrations, des ETI industrielles, ou des entités soumises à des contraintes réglementaires de souveraineté — restent dans la ligne de mire des attaquants.

Microsoft n'a pas encore publié de patch permanent au moment de la rédaction de cet article. En lieu et place, deux mécanismes d'atténuation ont été déployés. Le premier est l'Exchange Emergency Mitigation Service (EEMS), un service automatique qui déploie des règles d'atténuation d'urgence sur les serveurs Exchange configurés pour le recevoir. Pour CVE-2026-42897, la mitigation consiste à injecter une directive Content-Security-Policy script-src-attr dans les réponses HTML d'OWA, ce qui bloque l'exécution de JavaScript inline — le vecteur précis de la vulnérabilité. Le second mécanisme est l'Exchange On-premises Mitigation Tool (EOMT), un script PowerShell que les administrateurs peuvent exécuter manuellement, serveur par serveur ou via Exchange Management Shell.

L'exploitation active de cette vulnérabilité a été confirmée par Microsoft avant même la publication de l'alerte, ce qui suggère que des attaquants en avaient connaissance avant la divulgation publique. Les équipes de réponse à incident de plusieurs éditeurs de sécurité ont rapporté des compromissions liées à CVE-2026-42897 dans des environnements d'entreprises européennes et nord-américaines, principalement dans les secteurs de la finance, des services juridiques et des administrations publiques — tous des environnements qui maintiennent Exchange on-premises pour des raisons de conformité ou de souveraineté.

Le contexte plus large est préoccupant : Exchange Server est historiquement l'une des surfaces d'attaque les plus exploitées de l'écosystème Microsoft. Depuis ProxyLogon (CVE-2021-26855) en 2021, qui avait permis à des groupes APT d'origine chinoise de compromettre des centaines de milliers de serveurs dans le monde, Exchange on-premises est devenu une cible prioritaire des acteurs menaçants étatiques et cybercriminels. CVE-2026-42897 s'inscrit dans cette longue série qui comprend également ProxyShell, ProxyNotShell et OWASSRF, témoignant de la persistance des vulnérabilités dans les composants de messagerie d'entreprise.

La CISA et le NCSC britannique ont toutes deux émis des recommandations urgentes, soulignant que la facilité d'exploitation — un simple email — et l'absence de patch permanent créent une fenêtre d'exposition exceptionnellement dangereuse. Les équipes SOC sont invitées à surveiller les logs OWA pour des injections de scripts anormales, à analyser les règles de boîte mail nouvellement créées (souvent indicatrices d'une exfiltration silencieuse), et à rechercher des accès OWA depuis des pays ou des plages horaires inhabituels.

Impact et exposition

Toute organisation disposant d'un Exchange Server on-premises (versions 2016, 2019 ou SE) avec OWA exposé est vulnérable. Le risque est particulièrement élevé dans les environnements où OWA est accessible depuis Internet sans authentification multifacteur renforcée. Les secteurs les plus exposés sont les administrations publiques françaises et européennes, les cabinets d'avocats, les établissements de santé et les industriels qui maintiennent Exchange on-premises pour des raisons réglementaires ou de souveraineté. En France, l'ANSSI estime que plusieurs milliers d'organisations maintiennent encore un Exchange on-premises en production. L'absence de conditions préalables complexes côté attaquant rend cette vulnérabilité accessible à des acteurs de niveau technique modeste.

Recommandations

  • Immédiat (24h) : Vérifier que l'Exchange Emergency Mitigation Service (EEMS) est activé sur tous vos serveurs Exchange et que la mitigation CVE-2026-42897 a bien été appliquée ; sinon, exécuter manuellement l'EOMT disponible auprès de Microsoft.
  • Court terme : Auditer les logs OWA des 45 derniers jours pour détecter des créations de règles de redirection suspectes, des accès depuis des géolocalisations inhabituelles ou des user-agents anormaux.
  • Structurel : Évaluer la migration vers Exchange Online ou, a minima, placer OWA derrière un reverse proxy avec WAF applicatif, et imposer le MFA sur tous les accès OWA sans exception.
  • Surveillance : Monitorer les bulletins de sécurité Microsoft pour l'annonce du patch permanent et l'appliquer dans les 72 heures suivant sa disponibilité.

Alerte critique

CVE-2026-42897 est activement exploitée sans patch permanent disponible. L'ouverture d'un simple email dans OWA suffit à compromettre la session navigateur d'un utilisateur. Si votre organisation dispose d'Exchange Server on-premises et n'a pas encore appliqué les mitigations EEMS/EOMT, considérez votre messagerie comme potentiellement compromise et agissez dans les heures qui suivent.

Exchange Online est-il vulnérable à CVE-2026-42897 ?

Non. CVE-2026-42897 n'affecte que les déploiements Exchange Server on-premises (versions 2016, 2019 et Subscription Edition). Microsoft gère directement l'infrastructure Exchange Online et a déjà appliqué les correctifs nécessaires côté cloud. Si votre organisation utilise uniquement Exchange Online (Microsoft 365), vous n'êtes pas exposé. En revanche, un environnement hybride Exchange avec un serveur on-premises connecté à Microsoft 365 reste vulnérable sur la partie on-premises.

Votre infrastructure Exchange est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit