CVE-2026-42897 : zero-day Exchange OWA sans patch permanent

Un email suffit pour compromettre votre serveur Exchange

Le 14 mai 2026, Microsoft a divulgué CVE-2026-42897, une vulnérabilité affectant la composante Outlook Web Access (OWA) de ses serveurs Exchange on-premises. Notée CVSS 8.1 et classifiée comme faille de spoofing d'origine cross-site scripting (XSS), cette vulnérabilité permet à un attaquant d'exécuter du code JavaScript arbitraire dans le navigateur d'une victime en lui envoyant un email spécialement conçu. La particularité qui distingue ce vecteur d'attaque des classiques campagnes de phishing : aucun clic sur une pièce jointe n'est requis. Il suffit que l'utilisateur ouvre le message dans l'interface OWA pour déclencher l'exécution du code malveillant.

L'exploitation active confirmée par Microsoft dès le lendemain de la divulgation place CVE-2026-42897 dans la catégorie des zero-days weaponisés avant toute publication de correctif. La CISA (Cybersecurity and Infrastructure Security Agency) a réagi avec une célérité inhabituelle en ajoutant la vulnérabilité à son catalogue Known Exploited Vulnerabilities (KEV) dès le 15 mai, soit 24 heures après la divulgation, et a imposé aux agences fédérales civiles américaines (FCEB — Federal Civilian Executive Branch) un délai de remédiation fixé au 29 mai 2026. Ce délai extrêmement serré — deux semaines seulement — souligne la gravité de la menace telle qu'évaluée par les autorités américaines.

Techniquement, la faille réside dans la manière dont OWA analyse et restitue certains contenus HTML présents dans les emails entrants. Lorsqu'un utilisateur ouvre un message spécialement construit via l'interface web d'OWA, le JavaScript embarqué dans le corps de l'email s'exécute dans le contexte de la session authentifiée de l'utilisateur. Cela autorise plusieurs scénarios d'attaque : vol de token de session pour un accès ultérieur non authentifié, exfiltration de la boîte mail, modification des règles de messagerie pour rediriger des emails vers une adresse externe, accès aux calendriers et contacts de l'organisation, ou encore utilisation du compte compromis pour lancer des campagnes de phishing interne. Si la victime dispose de privilèges d'administration Exchange, le rayon d'impact est considérablement élargi.

Les versions affectées sont Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition (SE), indépendamment de la Cumulative Update installée. Exchange Online, le service de messagerie cloud intégré à Microsoft 365, n'est pas vulnérable, Microsoft gérant directement l'infrastructure et ayant corrigé ses systèmes sans interruption de service visible pour les clients. Cette dichotomie on-premises/cloud rappelle, si besoin était, que les déploiements Exchange auto-hébergés concentrent un niveau de risque structurellement plus élevé que leurs équivalents cloud, en raison de la latence inévitable entre découverte et correction.

D'après des données collectées par des outils de découverte d'actifs exposés, plusieurs dizaines de milliers de serveurs Exchange on-premises demeurent directement accessibles depuis Internet à l'échelle mondiale. Même lorsqu'ils ne le sont pas, des configurations de passerelle SMTP ou de reverse proxy permettent à un attaquant externe d'acheminer des emails piégés vers des boîtes OWA internes. Selon BleepingComputer, les tentatives d'exploitation actives ont ciblé en priorité les administrations publiques, les cabinets d'avocats, les organisations de santé et les entreprises industrielles — secteurs historiquement plus lents à patcher, souvent en raison de contraintes opérationnelles ou réglementaires.

Microsoft a déployé une mitigation d'urgence via le Exchange Emergency Mitigation Service (EM Service), un mécanisme introduit à partir d'Exchange 2016 CU21 et Exchange 2019 CU10 permettant la publication automatique de contre-mesures côté serveur sans intervention manuelle des administrateurs. Pour CVE-2026-42897, la mitigation a été activée automatiquement sur les serveurs où le service EM est activé et à jour. Cette approche présente l'avantage de la rapidité, mais elle n'équivaut pas à un patch définitif : elle peut imposer des restrictions temporaires sur certaines fonctionnalités OWA et ne couvre pas les serveurs dont le service EM serait désactivé ou mal configuré. Les administrateurs doivent impérativement vérifier l'état du service EM dans le journal d'événements Windows et dans les rapports de conformité Exchange.

Sur le plan de la détection, les équipes SOC doivent surveiller plusieurs indicateurs : des requêtes HTTP contenant des patterns inhabituels vers les endpoints OWA (notamment les handlers de rendu de message), des réponses HTTP incluant des balises script ou des encodages JavaScript suspects dans des flux normalement HTML statique, des connexions sortantes initiées depuis des sessions OWA vers des domaines ou adresses IP non répertoriés, et des anomalies d'authentification immédiatement après l'ouverture d'un email spécifique par un utilisateur. Microsoft Defender pour les serveurs Exchange et les solutions EDR modernes ont mis à jour leurs signatures pour identifier les tentatives d'exploitation connues de CVE-2026-42897.

À la date de publication de cet article, Microsoft n'avait pas communiqué de date précise pour un patch définitif intégré dans une Cumulative Update. Les organisations concernées se trouvent donc dans une posture de mitigation prolongée, dépendant du service EM jusqu'à publication d'un correctif permanent. La recommandation minimale immédiate est triple : vérifier l'activation du service EM, restreindre autant que possible l'accès OWA depuis Internet (restriction par IP ou VPN obligatoire), et augmenter la surveillance des journaux OWA pour détecter toute tentative d'exploitation.

Exchange, cible récurrente des groupes APT et des cybercriminels

CVE-2026-42897 s'inscrit dans une longue et douloureuse série de vulnérabilités critiques affectant Exchange Server. En mars 2021, ProxyLogon (CVE-2021-26855) avait provoqué une compromission de masse mondiale estimée à plus de 250 000 serveurs en quelques jours, orchestrée initialement par le groupe APT HAFNIUM avant d'être exploitée en cascade par une dizaine d'autres groupes. En 2022, ProxyNotShell avait à nouveau placé Exchange au cœur d'une crise, avec exploitation active avant la disponibilité d'un patch. Ces précédents illustrent pourquoi Exchange on-premises constitue une cible de premier rang pour les attaquants : il concentre l'intégralité des communications d'une organisation, offrant un point d'accès initial, un tremplin pour le mouvement latéral et une source d'exfiltration de données stratégiques réunies en un seul composant.

La nature XSS de CVE-2026-42897 est particulièrement préoccupante dans le contexte des attaques de compromission de messagerie professionnelle (BEC — Business Email Compromise). Un attaquant qui parvient à exécuter du JavaScript dans la session OWA d'un directeur financier ou d'un responsable des achats peut non seulement lire ses échanges confidentiels, mais également modifier ses règles de messagerie pour intercepter les validations de virement ou usurper son identité pour émettre des instructions frauduleuses. Le coût global des attaques BEC dépasse 2,9 milliards de dollars annuels selon le FBI, et CVE-2026-42897 représente précisément le type d'accès initial qui alimente ces scénarios à fort impact financier.

Pour les organisations françaises, la situation est aggravée par la prévalence d'Exchange Server dans les PME, les collectivités territoriales et le secteur public. Le CERT-FR a relayé l'alerte dans ses bulletins de sécurité de mai 2026. L'ANSSI rappelle régulièrement que les serveurs Exchange exposés constituent une cible de choix pour les groupes APT ciblant les entités d'importance vitale (OIV) et les opérateurs de services essentiels (OSE). Avec les tensions géopolitiques actuelles, plusieurs groupes APT étatiques maintiennent une surveillance constante sur les serveurs Exchange vulnérables, prêts à exploiter toute fenêtre d'opportunité.

L'absence de patch permanent pour CVE-2026-42897 soulève également une question stratégique plus large : les organisations dépendantes d'Exchange on-premises subissent une pression croissante pour migrer vers Exchange Online. Microsoft a historiquement orienté ses investissements en priorité vers le cloud, ce qui se traduit par des cycles de patching on-premises potentiellement moins réactifs. Pour les secteurs réglementés, les environnements isolés (air-gapped) ou les organisations ayant des contraintes de souveraineté des données, la migration cloud n'est cependant pas une option à court terme, rendant la gestion proactive des vulnérabilités Exchange on-premises incontournable et critique.

Ce qu'il faut retenir

• CVE-2026-42897 est un zero-day XSS dans OWA activement exploité : Exchange Server 2016, 2019 et SE sont concernés, Exchange Online ne l'est pas.
• Vérifier immédiatement l'activation du service EM sur tous les serveurs Exchange et consulter le journal d'événements pour confirmer que la mitigation automatique est en place.
• En l'absence de patch définitif, restreindre l'accès OWA depuis Internet et élever la priorité de surveillance SOC sur les logs Exchange.