Suivre 
Microsoft a divulgué une vulnérabilité affectant les versions locales d’Exchange Server qui fait déjà l’objet d’une exploitation active dans la nature. Suivie sous le code CVE-2026-42897, la faille obtient un score CVSS de 8.1 et affecte Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition, tandis qu’Exchange Online n’est pas impacté. Microsoft la décrit comme un problème de falsification enraciné dans le cross-site scripting qui peut être déclenché lorsqu’un utilisateur ouvre un email spécialement conçu dans Outlook Web Access dans certaines conditions d’interaction.
Du point de vue du défenseur, la vulnérabilité CVE-2026-42897 est importante car le chemin d’exploitation ne commence pas par une prise de contrôle du serveur. Au lieu de cela, l’attaquant envoie un email conçu pour exécuter du JavaScript arbitraire dans la session du navigateur de la victime lorsque consulté via OWA, créant un chemin vers la falsification et l’abus de session dans le contexte du client web. Au moment de la divulgation, Microsoft a déclaré que l’exploitation avait été détectée, mais les rapports publics n’ont pas identifié l’acteur de la menace, les cibles ou l’ampleur globale de la campagne.
Analyse CVE-2026-42897
La vulnérabilité dans CVE-2026-42897 est liée à une neutralisation incorrecte de l’entrée lors de la génération de page web dans Microsoft Exchange Server. Selon l’explication publique de Microsoft, un attaquant peut exploiter la faille en envoyant un email spécialement conçu à un utilisateur, qui exécute ensuite du JavaScript contrôlé par l’attaquant dans le navigateur lorsque le message est ouvert dans OWA et que les conditions d’interaction requises sont remplies. En termes pratiques, la charge utile de CVE-2026-42897 est le contenu même de l’email malveillant plutôt qu’un binaire déposé ou un implant côté serveur.
Pour les équipes de sécurité effectuant une analyse de CVE-2026-42897, une limitation clé est le manque actuel de détails publics profonds sur l’exploitation. Il n’existe pas de poc public pour CVE-2026-42897 dans les sources citées, et Microsoft n’a pas publié d’IOCs de paquet ou de forensic pour CVE-2026-42897. Cela signifie que la détection de CVE-2026-42897 est plus susceptible de s’appuyer sur l’identification des déploiements OWA exposés sur site, la surveillance des activités suspectes du navigateur entraînées par les emails, et la vérification que l’atténuation d’urgence de Microsoft a été appliquée sur tous les serveurs Exchange éligibles.
Atténuation CVE-2026-42897
Le guide immédiat d’atténuation CVE-2026-42897 de Microsoft est de s’appuyer sur le service Exchange Emergency Mitigation, qui applique automatiquement la protection via une configuration de réécriture d’URL et est activé par défaut sur les déploiements Exchange sur site pris en charge. Microsoft indique que les administrateurs doivent s’assurer que le service Windows est activé s’il a été désactivé. La société déclare également que cette atténuation est une mesure temporaire tandis qu’une correction permanente est en cours de préparation.
Si le service Exchange Emergency Mitigation ne peut pas être utilisé, comme dans les environnements isolés, Microsoft recommande aux administrateurs de déployer le dernier outil Exchange On-premises Mitigation Tool (EOMT) et d’appliquer l’atténuation spécifique au CVE soit par serveur, soit sur tous les serveurs Exchange via Exchange Management Shell. En pratique, pour détecter l’exposition à CVE-2026-42897, les organisations doivent inventorier tous les systèmes Exchange sur site exposés à internet, confirmer si l’atténuation d’urgence a été appliquée avec succès, et prioriser les serveurs activés pour OWA qui restent accessibles de l’extérieur sans l’atténuation en place.
FAQ
Qu’est-ce que CVE-2026-42897 et comment fonctionne-t-il ?
CVE-2026-42897 est une faille de falsification dans Microsoft Exchange Server sur site causée par un problème de cross-site scripting dans la génération de contenu web lié à OWA. Un email spécialement conçu peut exécuter du JavaScript arbitraire dans le navigateur de la victime lorsqu’il est ouvert dans Outlook Web Access sous certaines conditions.
Quand CVE-2026-42897 a-t-il été découvert pour la première fois ?
Les sources publiques ne divulguent pas de date de découverte privée. Il est confirmé que Microsoft a publiquement divulgué la faille le 14 mai 2026, et The Hacker News indique qu’un chercheur anonyme a été crédité pour l’avoir signalée.
Quel est l’impact de CVE-2026-42897 sur les systèmes ?
L’impact principal est l’exécution de JavaScript dans le contexte du navigateur et la falsification contre les utilisateurs d’Outlook Web Access sur les environnements Exchange sur site affectés. Il n’est pas décrit dans les sources citées comme une exposition d’Exchange Online ou une exécution de code à distance côté serveur.
CVE-2026-42897 peut-il encore m’affecter en 2026 ?
Oui. CVE-2026-42897 affecte les systèmes Exchange Server 2016, 2019, et Edition Subscription sur site en 2026 s’ils restent vulnérables et que l’atténuation de Microsoft n’a pas été appliquée. Exchange Online est exclu des produits affectés listés dans le rapport.
Comment puis-je me protéger contre CVE-2026-42897 ?
Appliquez l’atténuation d’urgence de Microsoft via le service Exchange Emergency Mitigation, ou utilisez l’outil Exchange On-premises Mitigation Tool là où l’atténuation automatique n’est pas possible. Pour les défenseurs cherchant plus de détails sur CVE-2026-42897, l’approche la plus sûre consiste à vérifier le statut d’atténuation sur chaque serveur Exchange exposé et à réduire l’exposition OWA inutile jusqu’à ce que Microsoft publie le correctif permanent.
