CVE‑2026‑42897 : une faille zero‑day active vise Outlook on the Web sur Exchange

Un attaquant peut injecter du contenu qui sera exécuté dans le navigateur de la victime lorsqu’elle utilise l’interface web d’Exchange. Microsoft classe ce problème comme une vulnérabilité d’usurpation (spoofing), car il permet de manipuler l’interface ou le contexte de session de l’utilisateur.

Les bases de données de sécurité évaluent la vulnérabilité avec un score CVSS de 8,1 (gravité élevée), car elle peut être exploitée à distance avec peu de prérequis, hormis une interaction de l’utilisateur.

Comment fonctionne l’attaque via OWA

L’exploitation repose généralement sur l’ingénierie sociale et un e‑mail malveillant.

Scénario typique :

• Un attaquant envoie un e‑mail spécialement conçu à une cible.
• La victime ouvre ce message via Outlook on the Web (OWA).
• Une mauvaise gestion des entrées dans l’interface OWA permet d’afficher du contenu contrôlé par l’attaquant qui déclenche l’exécution de JavaScript dans la session du navigateur.

Une fois exécuté, ce script fonctionne dans le contexte de la session authentifiée de la victime. Selon les cas, cela peut permettre :

• d’usurper l’interface Outlook
• d’effectuer des actions dans la session web de l’utilisateur
• de manipuler ou envoyer des données depuis la boîte mail

Les avis publics ne diffusent pas de code d’exploitation détaillé, mais plusieurs analyses confirment que la vulnérabilité est déjà utilisée dans des attaques réelles.

Versions d’Exchange concernées

Les rapports disponibles indiquent que les versions Exchange Server on‑premises suivantes sont affectées :

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019
• Microsoft Exchange Server Subscription Edition (SE)

Il s’agit de produits installés et administrés directement par les organisations, souvent accessibles via OWA pour les utilisateurs internes ou à distance.

Pourquoi Exchange Online n’est pas touché

Les avis de sécurité indiquent que la vulnérabilité concerne les installations Exchange locales, et non Exchange Online, le service de messagerie cloud intégré à Microsoft 365.

La différence tient principalement à l’architecture :

• Exchange Online est opéré et patché directement par Microsoft.
• Les mises à jour et contrôles de sécurité y sont appliqués de manière centralisée.

Ainsi, la vulnérabilité vise les serveurs Exchange autogérés et leurs interfaces OWA, et non l’infrastructure cloud de Microsoft.

Les mesures d’atténuation temporaires publiées par Microsoft

En attendant un correctif définitif, Microsoft a publié des protections temporaires via le Exchange Emergency Mitigation Service (EEMS).

Ce service peut déployer automatiquement des mitigations de sécurité sur les serveurs Exchange compatibles. Pour CVE‑2026‑42897, Microsoft a diffusé une mitigation identifiée par des ID dans la série M2.1.x, appliquée automatiquement si EEMS est activé.

Les organisations doivent vérifier que cette mitigation a bien été téléchargée et appliquée.

Options de mitigation manuelle

Certains environnements ne permettent pas les mitigations automatiques, par exemple :

• réseaux isolés ou déconnectés
• infrastructures où EEMS est désactivé

Dans ces cas, Microsoft fournit une procédure manuelle via les outils de mitigation Exchange permettant d’appliquer la même protection sans le service automatisé.

Les administrateurs doivent appliquer ces mesures immédiatement si l’automatisation n’est pas disponible.

Limites pour les serveurs anciens ou non supportés

Les mitigations distribuées via EEMS sont conçues pour les versions Exchange encore supportées.

Les serveurs qui sont :

• trop anciens
• hors support
• incapables de contacter les services Microsoft

peuvent ne pas recevoir ou appliquer correctement la mitigation.

Ces systèmes doivent être considérés comme potentiellement exposés tant qu’ils ne sont pas mis à niveau, isolés ou protégés par d’autres mesures.

Pas encore de correctif permanent

Au moment des avis publics cités, Microsoft avait publié des mitigations mais pas encore de correctif de sécurité permanent pour CVE‑2026‑42897.

Les organisations doivent surveiller les communications officielles de Microsoft (MSRC et équipe Exchange) pour connaître la disponibilité du patch.

Pourquoi le script Exchange Health Checker est essentiel

Un problème fréquent avec les mitigations automatiques est de supposer qu’elles sont actives alors qu’elles ne le sont pas.

Microsoft recommande d’exécuter le script Exchange Health Checker afin de vérifier rapidement :

• si le service Exchange Emergency Mitigation Service est activé
• si les mitigations comme M2.1.x sont effectivement appliquées
• si des problèmes de configuration empêchent leur téléchargement ou leur activation

Exécuter cet outil sur tous les serveurs Exchange permet de confirmer que la protection est réellement en place.

Actions immédiates recommandées aux administrateurs

Pour les organisations utilisant Exchange on‑premises, les priorités sont :

• vérifier que EEMS est activé et fonctionnel
• confirmer que la mitigation M2.1.x pour CVE‑2026‑42897 est appliquée
• exécuter le Exchange Health Checker sur chaque serveur
• appliquer la mitigation manuelle si nécessaire
• identifier les serveurs obsolètes ou non supportés

Étant donné que la vulnérabilité est déjà exploitée activement, toute organisation exposant Outlook on the Web devrait considérer la vérification de ces mitigations comme une tâche de sécurité urgente.