Le zero-day de Microsoft Exchange Server exploité par le biais d'un courrier électronique malveillant

Microsoft a confirmé l'exploitation active de CVE-2026-42897, un zero-day dans Exchange Server on-premises qui permet aux attaquants d'exécuter un JavaScript arbitraire dans le navigateur d'une victime en envoyant un e-mail conçu. Il n'existe pas de correctif permanent. Microsoft a déployé une mesure d'atténuation d'urgence le 14 mai, et la CISA a ajouté la faille à son catalogue de vulnérabilités connues et exploitées le lendemain, exigeant des agences fédérales qu'elles y remédient avant le 29 mai. Exchange Online n'est pas concerné.

Ce que fait CVE-2026-42897

CVE-2026-42897 est une faille de script intersite dans le composant Outlook Web Access de Microsoft Exchange Server sur site, notée CVSS 8.1. Un attaquant envoie un courriel spécialement conçu à une cible. Lorsque le destinataire l'ouvre dans OWA sous certaines conditions d'interaction, un JavaScript arbitraire s'exécute dans la session du navigateur.

Microsoft classe la vulnérabilité comme un problème d'usurpation d'identité qui trouve son origine dans une mauvaise neutralisation des entrées lors de la génération de la page web. Le chemin d'attaque ne nécessite pas d'authentification ou d'accès au serveur. Il commence par une boîte de réception.

Qui est concerné ?

La faille touche Exchange Server 2016 sur site, Exchange Server 2019 et Exchange Server Subscription Edition à n'importe quel niveau de mise à jour. Exchange Online n'est pas vulnérable.

Exchange sur site est au centre de la messagerie d'entreprise pour les gouvernements, les institutions financières et les entreprises qui n'ont pas encore migré vers le cloud. Le catalogue des vulnérabilités connues et exploitées de la CISA répertorie déjà près de deux douzaines de failles dans Exchange Server, et des groupes de ransomwares ont abusé de plusieurs d'entre elles pour atteindre des cibles. La CVE-2026-42897 est arrivée deux jours seulement après le Patch Tuesday du mois de mai, qui a corrigé 120 vulnérabilités mais n'a révélé aucune faille de type "zero day" dans ses notes de mise à jour.

Atténuation de la faille

Microsoft a déployé un correctif temporaire par l'intermédiaire de son service d'atténuation d'urgence d'Exchange https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.htmll'EEMS applique l'atténuation automatiquement via la configuration de réécriture d'URL sur les serveurs de boîtes aux lettres Exchange où le service est activé par défaut. Les administrateurs peuvent vérifier l'état du service en utilisant le script Exchange Health Checker à l'adresse aka.ms/ExchangeHealthChecker.

Dans le cas d'environnements déconnectés où EEMS ne peut pas atteindre les serveurs de Microsoft, les administrateurs doivent télécharger manuellement la dernière version d'Exchange On-premises Mitigation Tool et l'exécuter via un shell de gestion d'Exchange surélevé. La commande cible un seul serveur ou peut être exécutée sur l'ensemble du parc Exchange en une seule fois.

Il y a un problème cosmétique dont il faut tenir compte. Certains serveurs afficheront l'état de l'atténuation comme "Atténuation invalide pour cette version d'Exchange" dans le champ de description. Microsoft confirme que la correction est appliquée correctement dans ces cas si la colonne d'état indique "Applied". Le texte affiché est un bogue cosmétique connu qui fait l'objet d'une enquête.

Effets secondaires de l'atténuation

L'application de la correction a des conséquences fonctionnelles. La fonction OWA Print Calendar cesse de fonctionner après l'application de l'atténuation. Les images en ligne ne s'affichent plus correctement dans les fenêtres de lecture des destinataires dans Outlook Web Access.

OWA Light, l'ancienne interface accessible via une URL se terminant par /?layout=light, cesse également de fonctionner après l'application de la mesure d'atténuation. Microsoft a supprimé cette interface il y a plusieurs années et ne la considère pas comme prête pour la production, mais les organisations qui l'utilisent encore devront acheminer les utilisateurs via l'URL OWA standard à la place.

Pas encore de correctif permanent

Microsoft est en train de développer un correctif permanent et n'a pas confirmé de calendrier de publication. Lorsqu'il sera disponible, Exchange Server Subscription Edition le recevra via le canal de mise à jour standard. Exchange Server 2016 et 2019 n'obtiendra le correctif permanent que par le biais du programme de mise à jour de sécurité étendue de la période 2 de Microsoft.

Les organisations qui utilisent l'une ou l'autre des anciennes versions sans s'inscrire à l'ESU resteront exposées jusqu'à ce qu'elles appliquent manuellement l'atténuation d'urgence. La CISA a ajouté CVE-2026-42897 au catalogue des vulnérabilités exploitées connues le 15 mai et exige que les agences de la branche exécutive civile fédérale y remédient d'ici le 29 mai. Microsoft n'a pas identifié les acteurs de la menace à l'origine des attaques actives et n'a pas révélé les organisations ciblées par les attaquants.

Le calendrier de CVE-2026-42897 se situe à l'autre extrémité du cycle de vie des vulnérabilités par rapport à la découverte proactive. Le modèle MDASH AI de Microsoft de Microsoft a récemment identifié 16 failles critiques de Windows avant que les attaquants ne puissent les atteindre, une approche de détection que CVE-2026-42897 a entièrement contournée.