CVE-2026-42897 : zero-day Exchange OWA exploité sans patch permanent

Les faits

Le 14 mai 2026, Microsoft a simultanément divulgué CVE-2026-42897 et confirmé son exploitation active dans la nature. Cette vulnérabilité de type Cross-Site Scripting (XSS), scorée CVSS 8.1, affecte l'interface Outlook Web Access (OWA) des déploiements on-premises d'Exchange Server. Sa particularité critique : aucun patch permanent n'était disponible au moment de la divulgation, et Microsoft n'a pas précisé de date pour le Security Update définitif.

Techniquement, la faille est classée CWE-79 (neutralisation incorrecte des entrées lors de la génération de pages web). Un attaquant envoie un e-mail HTML spécialement forgé à une cible. Lorsque le destinataire ouvre cet e-mail dans OWA via un navigateur, du JavaScript arbitraire s'exécute dans le contexte authentifié du navigateur de la victime. Aucune interaction supplémentaire n'est requise — pas de clic sur un lien, pas d'ouverture de pièce jointe. L'ouverture de l'e-mail suffit.

Les conséquences d'une exploitation réussie sont sévères malgré l'absence de compromission directe du serveur Exchange. Le JavaScript exécuté dans la session authentifiée peut voler les tokens de session OWA pour usurper l'identité de la victime, manipuler les règles de messagerie (redirections silencieuses, suppressions automatiques d'e-mails), accéder aux e-mails, contacts et calendriers, et déclencher des actions au nom de la victime. Sur des comptes à hauts privilèges — administrateurs Exchange, PDG, directeurs financiers — l'impact peut se propager à l'ensemble de l'organisation via des actions administratives frauduleuses.

Les versions on-premises affectées couvrent Exchange Server 2016 (toutes les CU), Exchange Server 2019 (toutes les CU), et Exchange Server Subscription Edition quelle que soit la version de mise à jour installée. Exchange Online (Microsoft 365) n'est pas concerné — la faille est spécifique à l'implémentation OWA des serveurs on-premises. En déploiement hybride, seuls les utilisateurs dont les boîtes aux lettres sont hébergées sur le serveur on-premises sont exposés.

Microsoft a déployé une mesure d'atténuation d'urgence le 14 mai 2026 via l'Exchange Emergency Mitigation Service (EEMS), disponible sur les serveurs Exchange disposant de connectivité Internet sortante. Ce mécanisme désactive ou filtre les vecteurs d'injection identifiés, mais ne constitue pas un correctif définitif. C'est l'une des rares fois où Microsoft doit gérer un zero-day Exchange sans patch disponible à la date de la divulgation publique.

La CISA américaine a ajouté CVE-2026-42897 au catalogue Known Exploited Vulnerabilities (KEV) le 15 mai 2026 — le lendemain de la divulgation — avec une deadline de remédiation au 29 mai 2026 pour les agences fédérales soumises à la directive BOD 22-01. Ce délai d'inclusion d'un jour dans le KEV signale une exploitation particulièrement agressive, vérifiée indépendamment par les équipes CISA au-delà de la seule déclaration de Microsoft.

D'après les analyses publiées par SecurityWeek et Security Affairs, la chaîne d'attaque observée implique l'envoi d'un e-mail HTML forgé à une cible identifiée, en usurpant l'identité d'un expéditeur de confiance. L'e-mail est conçu pour être lu dans OWA (et non dans un client Outlook lourd), ce qui oriente les attaquants vers des cibles identifiées comme utilisateurs OWA via les en-têtes de réponse des serveurs Exchange exposés. L'exploitation via le client MAPI Outlook n'a pas été confirmée.

La particularité de CVE-2026-42897 est son vecteur d'attaque quasi-irréductible : l'e-mail est le canal de communication métier universel. Il est impossible d'en interdire la réception sans paralyser l'activité. Les solutions de filtrage anti-spam et anti-phishing peuvent partiellement atténuer le risque, mais ne protègent pas contre des e-mails forgés passant les vérifications SPF/DKIM/DMARC ou provenant de comptes légitimes compromis. La seule vraie mitigation reste la restriction d'accès à OWA ou l'application de la mitigation EEMS.

Impact et exposition

Toute organisation maintenant un Exchange Server on-premises (2016, 2019 ou SE) avec OWA exposé est à risque. Les grandes entreprises françaises, collectivités et administrations publiques n'ayant pas migré vers Exchange Online restent potentiellement exposées. L'exploitation ne nécessite ni accès réseau direct au serveur, ni compte valide : seule la capacité d'envoyer un e-mail à une cible utilisant OWA est requise. Le risque est particulièrement élevé pour les administrateurs Exchange lisant leurs e-mails via OWA — une compromission de leur session ouvrirait un accès administrateur complet à l'infrastructure de messagerie.

Recommandations

• Vérifier l'activation de l'EEMS : confirmer que la mitigation CVE-2026-42897 est appliquée via les journaux Windows Application (source "MSExchange Mitigation Service"), avec une date postérieure au 14 mai 2026
• Restreindre OWA par IP : si Exchange expose OWA sur Internet, limiter l'accès aux adresses IP de confiance (VPN, IP de bureau) via les règles pare-feu
• Désactiver OWA temporairement : pour les organisations fonctionnant avec des clients Outlook seuls, envisager une désactivation temporaire d'OWA jusqu'au patch permanent
• Auditer les règles de messagerie : vérifier régulièrement les règles Exchange des comptes à hauts privilèges pour détecter des redirections ou suppressions automatiques non autorisées
• Sensibiliser les utilisateurs OWA : alerter les équipes pour signaler immédiatement tout comportement anormal de l'interface après ouverture d'un e-mail
• S'abonner au MSRC : surveiller les publications du Microsoft Security Response Center pour être notifié dès la disponibilité du Security Update permanent