CVE-2026-42897 : zero-day Exchange OWA exploité, aucun patch disponible

Les faits

Le 14 mai 2026, Microsoft a divulgué CVE-2026-42897, une vulnérabilité de type XSS (Cross-Site Scripting) et usurpation d'identité affectant Outlook Web Access (OWA) dans les versions on-premises d'Exchange Server. La faille présente un score CVSS de 8.1 et fait l'objet d'une exploitation active confirmée par Microsoft — sans que le correctif définitif ne soit disponible à ce jour. Un chercheur anonyme a été crédité pour la découverte et la divulgation responsable.

Le CERT-FR a émis l'alerte CERTFR-2026-ALE-005 le 15 mai 2026, qualifiant l'exploitation de confirmée et recommandant l'application immédiate des mesures de mitigation disponibles. La CISA a simultanément ajouté CVE-2026-42897 à son catalogue KEV (Known Exploited Vulnerabilities), avec une deadline de remédiation fixée au 29 mai 2026 pour les agences fédérales civiles américaines.

Le vecteur d'attaque est particulièrement insidieux dans sa conception. L'attaquant envoie un email spécialement construit à la victime ciblée. Lorsque celle-ci ouvre cet email via OWA dans son navigateur — et non via le client Outlook lourd ou Outlook Mobile — et interagit avec certains éléments (un clic sur un bouton ou un lien), un code JavaScript arbitraire s'exécute dans le contexte de la session OWA de la victime, avec les droits et accès de cette session.

Cette condition d'interaction est trivialement satisfaite par du social engineering basique : un email d'apparence légitime invitant à cliquer sur « Valider votre présence », « Télécharger le document joint » ou « Confirmer votre accès » suffit. Les incidents documentés montrent que les attaquants utilisent des emails imitant des communications RH, comptabilité ou IT internes, ciblant prioritairement les individus à accès sensibles : directions générales, équipes finance, RSSI, administrateurs système.

Une exploitation réussie permet à l'attaquant d'opérer intégralement dans le contexte de la session OWA compromise : lecture et exfiltration de l'ensemble de la messagerie, création de règles de redirection vers des adresses externes, envoi d'emails au nom de la victime, accès aux contacts et calendriers. Dans les environnements où OWA est intégré à un système SSO (Single Sign-On), la portée de la compromission peut s'étendre bien au-delà de la messagerie vers des applications métier critiques.

L'absence de correctif définitif à ce stade est une situation préoccupante. Microsoft n'a pas communiqué de calendrier précis pour la publication d'un patch permanent. En attendant, l'éditeur fournit une mitigation via l'Exchange Emergency Mitigation Service (EEMS), un mécanisme intégré à Exchange Server 2016, 2019 et SE depuis Exchange Server 2019 CU12. EEMS déploie automatiquement des mitigations d'urgence sans redémarrage du service Exchange, sous forme de règles de réécriture URL ou de filtrage de patterns de requêtes.

Pour CVE-2026-42897, la mitigation EEMS active bloque le rendu de certaines constructions JavaScript dans les emails affichés en OWA. Cette mitigation réduit substantiellement la surface exploitable sans l'éliminer totalement : des variantes du payload peuvent potentiellement la contourner, notamment si les attaquants adaptent leur technique aux règles de mitigation publiées.

Une précision importante : Exchange Online (Microsoft 365) n'est pas affecté par CVE-2026-42897. La vulnérabilité concerne exclusivement les déploiements on-premises. Cela signifie que les organisations qui n'ont pas encore migré vers le cloud — secteur public français, défense, industrie réglementée, santé, collectivités territoriales — sont précisément celles qui restent exposées, souvent pour des raisons de souveraineté ou de contraintes réglementaires qui complexifient la migration.

Le contexte historique renforce l'urgence. Exchange Server on-premises est une cible élective des acteurs APT depuis des années. Les campagnes ProxyLogon (CVE-2021-26855, mars 2021) et ProxyNotShell (CVE-2022-41082, octobre 2022) avaient démontré qu'un serveur Exchange exposé constituait une porte d'entrée permettant rapidement une compromission totale des systèmes internes. CVE-2026-42897 s'inscrit dans cette continuité — vecteur email plutôt qu'exploitation directe du serveur, mais impact potentiel comparable pour les organisations dont OWA est le client de messagerie principal.

Les équipes sécurité dont les utilisateurs ont migré vers Outlook lourd ou mobile peuvent avoir une exposition réduite si OWA est désactivé ou inaccessible. Mais dans de nombreuses organisations, OWA reste ouvert pour les accès nomades, les utilisateurs sans licence Outlook, ou simplement par défaut. Un inventaire rapide des portails OWA exposés est une première étape indispensable.

Impact et exposition

Sont exposées les organisations hébergeant Exchange Server SE, 2016 ou 2019 on-premises avec OWA accessible depuis Internet ou depuis des réseaux internes non contrôlés. L'exploitation requiert que la victime ouvre l'email piégé dans OWA et interagisse avec — condition facilement satisfaite par phishing ciblé. Les organisations dont les employés utilisent OWA comme client principal, sans Outlook lourd sur les postes, présentent une exposition maximale. Les comptes à hauts privilèges sont des cibles prioritaires.

Recommandations

• Vérifier immédiatement que l'Exchange Emergency Mitigation Service (EEMS) est activé et à jour sur tous les serveurs Exchange on-premises (PowerShell : Get-ExchangeDiagnosticInfo -Process EdgeTransport -Component MitigationService)
• Sensibiliser en urgence les utilisateurs OWA : ne pas cliquer sur des éléments d'emails inattendus, même d'apparence interne — escalader tout email suspect à l'équipe sécurité
• Restreindre temporairement l'accès OWA aux seules adresses IP d'entreprise ou via VPN jusqu'à publication du correctif définitif
• Activer la journalisation granulaire des sessions OWA et surveiller : créations de règles de boîte aux lettres, forwarding rules vers des adresses externes, connexions depuis des IPs inhabituelles
• Appliquer le correctif définitif dès sa publication par Microsoft ; suivre les mises à jour de l'alerte CERT-FR CERTFR-2026-ALE-005