CVE-2026-42897 : zero-day Exchange OWA sans patch définitif

Un email suffit pour compromettre une session Exchange

Le 14 mai 2026, Microsoft a divulgué CVE-2026-42897, une vulnérabilité de type cross-site scripting (XSS) affectant le composant Outlook Web Access (OWA) de Microsoft Exchange Server on-premises. Classée CVSS 8.1, elle est aussitôt placée sur la liste des vulnérabilités activement exploitées (Known Exploited Vulnerabilities, KEV) de la CISA, qui ordonne aux agences fédérales civiles (FCEB) d'appliquer les mesures d'atténuation disponibles avant le 29 mai 2026 — soit en quinze jours à peine, ce qui témoigne de la gravité perçue par les autorités américaines.

Le vecteur d'attaque est redoutablement simple : l'attaquant envoie un email spécialement forgé à sa cible. Si celle-ci ouvre le message dans OWA, un code JavaScript arbitraire s'exécute immédiatement dans le contexte de la session authentifiée du navigateur, sans qu'aucune pièce jointe ne soit téléchargée ni qu'un lien externe soit cliqué. Il ne s'agit que de lire un email, geste que font des millions d'utilisateurs chaque jour. Cette propriété place CVE-2026-42897 parmi les vecteurs d'attaque les plus insidieux : il franchit sans difficulté la majorité des défenses périmètriques traditionnelles.

Une fois le JavaScript exécuté, les attaquants disposent d'un large spectre d'actions malveillantes : vol de jetons de session (permettant de rejouer des requêtes authentifiées sans connaître le mot de passe de la victime), usurpation d'identité dans la messagerie, manipulation des règles de filtrage des emails — un mécanisme classique de persistance silencieuse permettant de transférer automatiquement tous les messages entrants vers une adresse externe — et accès en lecture à l'ensemble des données de la boîte aux lettres. Des analyses publiées par SOC Prime et Senthorus confirment que des campagnes actives tirent déjà parti de cette faille pour compromettre des comptes Exchange dans plusieurs secteurs, dont la finance, les cabinets juridiques et les administrations publiques.

CVE-2026-42897 affecte spécifiquement les déploiements on-premises : Exchange Server 2016 CU23, Exchange Server 2019 CU14 et CU15, ainsi qu'Exchange Server Subscription Edition RTM. Exchange Online — la version hébergée dans Microsoft 365 — n'est pas concernée, Microsoft ayant déployé un correctif côté cloud bien plus rapidement. Cette disparité de traitement entre les versions cloud et on-premises n'est pas nouvelle, mais elle est particulièrement douloureuse ici : les organisations qui ont maintenu leur infrastructure Exchange sur site pour des raisons de souveraineté des données, de compliance sectorielle ou de contraintes budgétaires se retrouvent exposées à une faille de gravité élevée sans horizon de correction claire.

Face à l'urgence, Microsoft a déployé une mitigation automatique via l'Exchange Emergency Mitigation Service (EM Service) : l'ajout d'en-têtes Content Security Policy (CSP) dans les réponses HTTP d'OWA, qui bloquent l'exécution de scripts inline non autorisés dans le navigateur. Pour les serveurs où l'EM Service est activé — ce qui est le cas par défaut depuis Exchange 2016 CU23 — cette protection s'applique automatiquement sans intervention manuelle de l'administrateur.

Cependant, une lacune significative a été rapidement identifiée et documentée par TechTimes et Dark Reading : la mitigation CSP est totalement inopérante si les utilisateurs accèdent à OWA via Internet Explorer ou Microsoft Edge configuré en mode Internet Explorer (Edge IE Mode). Le moteur de rendu d'IE ne prend pas en charge les Content Security Policy, ce qui laisse ces profils entièrement exposés même après l'application de la mitigation officielle. Dans de nombreux environnements d'entreprise, Edge IE Mode reste activé pour assurer la compatibilité avec des applications métier internes développées pour IE — une réalité technique qui crée une surface d'attaque résiduelle impossible à combler sans l'arrivée du patch définitif.

Microsoft travaille sur des mises à jour de sécurité pour l'ensemble des versions affectées mais n'a pas communiqué de calendrier précis. Microsoft Community Hub a publié un billet dédié avec des recommandations complémentaires : vérifier l'état de l'EM Service, auditer les configurations de navigateur pour identifier et corriger les déploiements Edge IE Mode, envisager de restreindre l'accès OWA aux seuls postes de confiance, et placer les comptes à hauts privilèges sur des clients Outlook de bureau plutôt que sur OWA en attendant le patch. Help Net Security et Security Affairs précisent que la mitigation automatique est déjà disponible pour Exchange 2016, 2019 et SE, mais son efficacité reste conditionnelle à la configuration navigateur des utilisateurs.

La chasse aux compromissions préalables est également recommandée en urgence. Les indicateurs à surveiller incluent : des règles de messagerie créées ou modifiées récemment sans demande de l'utilisateur, des transferts automatiques vers des adresses externes non autorisées, des connexions OWA depuis des adresses IP inhabituelles ou des user-agents inconnus, et des exports de boîtes aux lettres non planifiés. Selon Rescana, des campagnes actives utilisant CVE-2026-42897 ont été identifiées en Europe et en Amérique du Nord, avec un ciblage privilégié des secteurs réglementés tels que la finance, la santé et les administrations publiques.

La dualité cloud / on-premises comme vecteur de risque structurel

CVE-2026-42897 met en lumière une tension persistante de l'écosystème Microsoft : la version cloud d'Exchange bénéficie de correctifs quasi immédiats, déployés de façon transparente sans intervention des équipes IT, tandis que les versions on-premises entrent dans un cycle de publication planifié, plus lent et soumis aux contraintes des équipes de production. Cette asymétrie génère mécaniquement des fenêtres de risque pour les organisations qui, pour des raisons légitimes, maintiennent leur infrastructure sur site.

Le vecteur "email forgé déclenchant un XSS dans un webmail d'entreprise" est par ailleurs historiquement difficile à bloquer. Contrairement à un lien de phishing pointant vers un domaine externe ou à une pièce jointe exécutable, un email dont le corps HTML embarque un payload XSS peut traverser sans alerte la majorité des passerelles de sécurité email (SEG) si celles-ci ne désinfectent pas activement le contenu HTML des messages entrants. Ce n'est pas le comportement par défaut de la plupart des déploiements de solutions de filtrage email, qui ciblent en priorité les liens externes malveillants et les pièces jointes weaponisées.

Des précédents comparables ont été observés sur Zimbra (CVE-2023-37580, exploité par des groupes APT), Roundcube (CVE-2023-43770), et OWA lui-même par le passé. Dans ces cas, les failles XSS ont régulièrement été instrumentalisées par des groupes d'espionnage étatiques pour l'exfiltration silencieuse de données de messagerie, un actif stratégique de premier ordre pour le renseignement économique et politique. La combinaison d'un vecteur d'entrée discret (un simple email) et d'un accès post-exploitation à l'intégralité d'une boîte aux lettres professionnelle en fait une cible de choix pour les opérations d'espionnage de long terme.

L'urgence de la réponse réglementaire américaine — CISA ajoutant CVE-2026-42897 au catalogue KEV en moins de 24 heures et imposant une deadline de 15 jours aux agences FCEB — contraste avec l'absence d'une directive équivalente publiée par l'ANSSI ou le CERT-FR pour les organisations françaises. Les recommandations génériques de durcissement Exchange publiées par ces organismes restent néanmoins applicables, et les RSSI des secteurs OIV et OSE sont invités à évaluer leur exposition sans attendre une instruction formelle.

Ce qu'il faut retenir

• CVE-2026-42897 (CVSS 8.1) permet l'exécution de JavaScript arbitraire dans OWA via un simple email forgé — aucune interaction supplémentaire n'est requise au-delà de la lecture du message.
• La mitigation automatique via l'EM Service (en-têtes CSP) est inefficace pour les utilisateurs d'Internet Explorer ou d'Edge en mode IE, laissant ces profils pleinement exposés malgré l'application de la mitigation officielle.
• En l'absence de patch définitif, les organisations Exchange on-premises doivent auditer en urgence leurs règles de messagerie, restreindre OWA aux postes de confiance et migrer les comptes sensibles vers des clients Outlook de bureau.