CVE-2026-42897 : zero-day Exchange Server exploité, aucun patch disponible

Les faits

Microsoft a confirmé le 14 mai 2026 l'exploitation active in the wild d'une vulnérabilité zero-day dans ses serveurs Exchange on-premises, identifiée sous la référence CVE-2026-42897. La faille, notée CVSS 8.1, permet à un attaquant non authentifié d'exécuter du JavaScript arbitraire dans le navigateur d'une victime en lui envoyant un email spécialement forgé, ouvert via Outlook Web Access (OWA).

La vulnérabilité est classée XSS (Cross-Site Scripting) combinée à du spoofing. Elle repose sur une neutralisation insuffisante des entrées lors de la génération de pages web dans le composant OWA d'Exchange Server. L'attaquant craft un message HTML malveillant, l'expédie vers sa cible, et si celle-ci consulte ce message via l'interface web d'Exchange, le payload JavaScript s'exécute dans le contexte de son navigateur — avec accès aux cookies de session et aux données d'authentification.

La portée géographique de l'exploitation reste à ce jour indéterminée. Microsoft indique avoir détecté des attaques in the wild sans préciser le nombre de victimes confirmées ni la nature des groupes impliqués. Les versions affectées couvrent Exchange Server Subscription Edition (SE), Exchange Server 2019 et Exchange Server 2016, soit les trois générations encore déployées en production dans les entreprises et administrations qui ont résisté à la migration vers Exchange Online.

Le 15 mai 2026, soit vingt-quatre heures après la divulgation par Microsoft, la CISA a ajouté CVE-2026-42897 à son catalogue KEV (Known Exploited Vulnerabilities). Cette inscription déclenche une obligation réglementaire pour les agences fédérales américaines (FCEB) : appliquer les mitigations disponibles avant le 29 mai 2026, un délai de deux semaines que les équipes de sécurité du secteur privé auraient tort d'ignorer.

La situation est d'autant plus critique qu'à la date de publication de l'advisory Microsoft, aucun patch définitif n'a été mis à disposition. L'équipe Exchange a publié deux approches de mitigation dans son advisory du 14 mai. La première repose sur l'Exchange Emergency Mitigation Service (EEMS), un mécanisme automatique disponible depuis Exchange Server 2016 CU19 qui permet de déployer des règles de mitigation sans mise à jour complète. Pour les serveurs Exchange 2016, 2019 et SE connectés à Internet, EEMS applique automatiquement la mitigation si le service est activé — ce qui est le cas par défaut sur les installations récentes.

La seconde approche, manuelle, consiste à désactiver certains comportements de rendu HTML dans OWA via des modifications de configuration IIS. Microsoft la déconseille aux environnements ne pouvant pas activer EEMS, car elle nécessite un redémarrage des pools d'applications IIS et peut affecter certaines fonctionnalités OWA. L'Exchange Emergency Mitigation Service communique avec un endpoint cloud Microsoft pour récupérer les règles à appliquer — les serveurs hors connexion Internet ne bénéficient donc pas de la mitigation automatique et doivent impérativement suivre la voie manuelle.

Exchange Online, la version cloud de Microsoft 365, n'est pas affectée par cette vulnérabilité. Les organisations ayant migré intégralement vers Exchange Online ne sont donc pas exposées. En revanche, les environnements hybrides où des serveurs Exchange on-premises coexistent avec Exchange Online pour la gestion des boîtes aux lettres ou le routage mail peuvent être exposés si les serveurs on-premises sont accessibles depuis Internet ou depuis des segments réseau sensibles.

Cette vulnérabilité illustre une problématique récurrente avec les serveurs Exchange on-premises : ils concentrent une surface d'attaque considérable — OWA, Exchange Web Services (EWS), Autodiscover, ActiveSync, PowerShell distant — et constituent des cibles de premier choix pour les acteurs malveillants en raison des données qu'ils hébergent. En 2021, les failles ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) avaient exposé des centaines de milliers de serveurs Exchange dans le monde. La dynamique est similaire ici : exploitation confirmée avant même la disponibilité d'un patch, et pression maximale sur les équipes pour agir sans filet.

Impact et exposition

Sont exposées toutes les organisations disposant de serveurs Microsoft Exchange Server 2016, 2019 ou SE en mode on-premises avec OWA accessible — depuis Internet ou depuis un segment réseau pouvant être atteint par des acteurs malveillants. L'exploitation nécessite qu'un utilisateur ouvre un email piégé via OWA (« user interaction required »), mais cette condition est facile à remplir dans un contexte professionnel. Les équipes de direction, services RH et équipes financières sont particulièrement ciblées car leurs boîtes mail reçoivent du courrier externe légitime de manière intensive. Un attaquant qui réussit l'exécution JavaScript dans OWA peut voler des tokens de session, initier des actions au nom de la victime, ou pivoter vers d'autres systèmes internes accessibles depuis la session compromise.

Recommandations

• Vérifier immédiatement si l'Exchange Emergency Mitigation Service (EEMS) est activé sur tous vos serveurs Exchange on-premises et confirmer l'application de la mitigation via l'événement ID 1005 dans le journal MSExchange Management
• Appliquer la mitigation manuelle IIS pour les serveurs sans accès Internet ou sans EEMS disponible — se référer à l'advisory de l'Exchange Team du 14 mai 2026
• Surveiller les logs OWA pour détecter des patterns anormaux : authentifications depuis des IP inconnues, sessions avec exécution JavaScript inhabituelle, accès en dehors des heures de bureau
• Restreindre l'exposition d'OWA à Internet via un reverse proxy WAF ou conditionner l'accès à un VPN si la criticité métier le permet
• Préparer le déploiement du patch dès sa disponibilité — Microsoft a indiqué travailler sur un correctif en urgence