Un nouveau bulletin de sécurité publié par Microsoft met en évidence une faille de sécurité dans Exchange Server. Précision importante : cette vulnérabilité estampillée CVE-2026-42897 est déjà exploitée. Quels sont les risques ? Comment se protéger ? Voici l’essentiel à savoir.
La faille CVE-2026-42897 exploitée dans la nature
Les serveurs de messagerie Microsoft Exchange sont affectés par une nouvelle vulnérabilité : la CVE-2026-42897, associée à un score de gravité CVSS de 8.1 sur 10. Elle se caractérise par un spoofing découlant d’une vulnérabilité XSS (Cross-Site Scripting).
Selon l’avis de sécurité publié par la firme de Redmond ce jeudi 14 mai 2026 : “La neutralisation incorrecte des entrées lors de la génération de pages web (“cross-site scripting”) dans Microsoft Exchange Server permet à un attaquant non autorisé d’effectuer une usurpation sur un réseau.”
Microsoft apporte aussi des précisions sur la façon d’exploiter cette vulnérabilité, où il y a également une part d’ingénierie sociale. En effet, un cybercriminel peut exploiter cette vulnérabilité en envoyant un e-mail malveillant à sa cible. Si la victime ouvre ce courriel dans le webmail Outlook, du code JavaScript arbitraire peut alors être exécuté directement dans le contexte du navigateur web de l’utilisateur.
“Un pirate pourrait exploiter cette faille en envoyant un e-mail spécialement conçu à un utilisateur. Si l’utilisateur ouvre cet e-mail dans Outlook Web Access et que certaines conditions d’interaction sont remplies, du code JavaScript arbitraire peut être exécuté dans le navigateur.”, explique Microsoft.
La particularité de cette vulnérabilité, c’est qu’elle serait déjà exploitée d’après Microsoft. Néanmoins, aucune information n’a été apportée à ce sujet.
Systèmes impactés et mesures d’atténuation
Il est important de souligner que le service Cloud Exchange Online n’est pas concerné par cette vulnérabilité. En revanche, les versions sur site (on-premise) suivantes sont vulnérables, et ce, quel que soit leur niveau de mise à jour :
Exchange Server 2016
Exchange Server 2019
Exchange Server Subscription Edition (SE)
Autrement dit, il n’y a pas encore de correctif officiel à installer sous la forme d’un patch. En attendant sa future disponibilité, Microsoft propose une mesure d’atténuation temporaire distribuée via son service Exchange Emergency Mitigation Service. Cela consiste à protéger le serveur en créant une règle de réécriture d’URL spécifique.
Comment bénéficier de cette protection ? Si vous vous posez cette question, sachez que ça doit être transparent, ce mécanisme de protection étant activé par défaut. Néanmoins, il peut s’avérer utile de vérifier l’état du service en utilisant le script ExchangeHealthChecker.
Si vous n’êtes pas en mesure d’utiliser ce service, il existe une alternative. Ce plan B proposé par Microsoft consiste à accomplir les actions suivantes :
1 – Téléchargez la dernière version de l’outil Exchange on-premises Mitigation Tool (EOMT).
2 – Lancez le script de remédiation à partir d’un terminal EMS (Exchange Management Shell).
S’il n’y a qu’un seul serveur à patcher, lancez ceci :
.\EOMT.ps1 -CVE “CVE-2026-42897”
S’il y en a plusieurs, utilisez plutôt cette syntaxe :
Get-ExchangeServer | Where-Object { $_.ServerRole -ne “Edge” } | .\EOMT.ps1 -CVE “CVE-2026-42897”
Il s’agit d’une méthode officielle proposée par Microsoft dans cet article. D’ailleurs, cet article évoque un bug d’affichage : le champ de description de la mitigation peut parfois indiquer à tort le message “Mitigation invalid for this exchange version”. Mais, c’est juste une question d’affichage : “Ce problème est cosmétique et l’atténuation s’applique avec succès si le statut affiché est “Appliqué”. Nous étudions la manière de résoudre ce problème.” – La solution à ce problème de sécurité contient elle-même un problème.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.