CVE-2026-42897 : zero-day Exchange OWA activement exploité

Les faits

Microsoft Exchange Server reste l'une des cibles les plus prisées des attaquants. Chaque nouvelle vulnérabilité critique dans ce produit est scrutée avec attention car Exchange Server on-prem est déployé dans des dizaines de milliers d'organisations en France et en Europe — administrations, collectivités, hôpitaux, cabinets d'avocats, PME industrielles. CVE-2026-42897 s'inscrit dans cette longue série de CVE à fort impact.

CVE-2026-42897, scorée CVSS 8.1, est une faille de type cross-site scripting (XSS) dans le composant Outlook Web Access (OWA) d'Exchange Server. Le défaut réside dans la génération de contenu web OWA, qui permet l'injection de JavaScript arbitraire dans le contexte navigateur de la victime. Microsoft a publié son alerte de sécurité le 14 mai 2026, dans le cadre du Patch Tuesday mensuel. Le CERT-FR a relayé l'information sous la référence CERTFR-2026-ALE-005.

Le vecteur d'exploitation est particulièrement insidieux : l'attaquant envoie un email spécialement forgé à la victime. Si celle-ci ouvre cet email via le portail Outlook Web Access dans son navigateur, et que certaines conditions d'interaction sont réunies, du JavaScript arbitraire est exécuté dans le contexte de session OWA de la victime. L'attaquant obtient ainsi accès aux actions disponibles dans OWA avec les droits de la victime : lecture de la boîte mail, exfiltration de contacts et calendriers, envoi d'emails en son nom, ou pivot via des tokens d'authentification volés.

La CISA a ajouté CVE-2026-42897 à son catalogue KEV le 15 mai 2026, confirmant une exploitation active. La deadline de remédiation pour les agences fédérales FCEB est le 5 juin 2026 — soit demain à la date de publication de cet article. Les attaques observées ciblent prioritairement les organisations dont le portail OWA est directement accessible depuis Internet, ce qui représente une proportion significative des déploiements Exchange on-prem.

D'un point de vue technique, l'exploitation repose sur le fait qu'OWA génère du HTML incluant des éléments de l'email reçu sans neutralisation suffisante des caractères spéciaux. Un attaquant peut insérer du JavaScript dans des champs email qui sont ensuite rendus tels quels dans le navigateur. Selon l'analyse publiée par SOCPrime et les équipes de Rescana, l'exploitation n'exige pas de compte Exchange valide côté attaquant — seule une adresse email destinataire valide suffit pour lancer l'attaque. Cette caractéristique amplifie considérablement la surface d'attaque potentielle.

Un correctif permanent est en cours de développement par Microsoft. Des mitigations temporaires ont été publiées dans le Security Response Center, incluant notamment le renforcement des en-têtes Content-Security-Policy (CSP) sur les serveurs Exchange et la restriction des scripts inline dans OWA. L'application de ces mitigations nécessite une intervention manuelle sur les serveurs Exchange et un redémarrage des services IIS.

CVE-2026-42897 touche Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition (SE). Exchange Online, la version hébergée dans Microsoft 365, n'est pas concernée. Pour les organisations hybrides maintenant des serveurs Exchange on-prem pour des raisons de compliance ou de contraintes techniques, la remédiation est urgente.

Le profil des attaquants exploitant CVE-2026-42897 n'a pas encore été officiellement attribué. Les patterns d'exploitation décrits par Help Net Security et Rescana évoquent des campagnes de spear-phishing ciblées, vraisemblablement à des fins d'espionnage ou de compromission initiale dans des attaques multi-étapes. Les organisations à profil sensible — cabinets d'avocats, institutions financières, administrations — sont particulièrement dans le viseur.

Impact et exposition

L'impact principal est le vol de session OWA et l'accès non autorisé aux boîtes mail des victimes. Dans des scénarios multi-étapes, une session OWA compromise peut servir de tremplin pour des mouvements latéraux (tokens OAuth, compromission de comptes liés) ou pour l'exfiltration massive de données de messagerie. Les organisations avec OWA exposé sur Internet sans MFA sont dans la situation la plus critique. L'absence de MFA permet à un attaquant, après vol de session, de maintenir un accès persistant sans les credentials de l'utilisateur.

Recommandations

• Immédiat : appliquer les mitigations temporaires publiées par Microsoft MSRC pour CVE-2026-42897 (renforcement CSP, restriction scripts inline OWA)
• Restreindre l'accès au portail OWA depuis Internet — envisager un accès exclusivement via VPN
• Activer et renforcer l'authentification multifacteur (MFA) sur tous les accès OWA sans exception
• Surveiller les logs IIS d'Exchange pour des patterns XSS et des sessions OWA anormales (IP inhabituelles, horaires atypiques)
• Planifier la migration vers Exchange Online pour sortir définitivement de cette surface d'attaque récurrente