Une faille zero-day déjà exploitée touche Outlook Web Access, le webmail d’Exchange Server. En attendant le correctif promis par Microsoft, les serveurs locaux doivent s’appuyer sur une parade d’urgence provisoire.
Fin de semaine dernière, Microsoft a publié un avis de sécurité concernant une faille critique dans Outlook Web Access, l’interface webmail d’Exchange Server. Relayée dès le lendemain par le CERT-FR, l’alerte fait état d'une vulnérabilité déjà exploitée, susceptible de permettre à un attaquant non authentifié d’exécuter du code JavaScript dans le navigateur de la victime à l’ouverture d’un mail piégé. Aucun correctif définitif n’est encore disponible, mais Redmond a déjà déployé une mesure d’atténuation temporaire afin de limiter les risques immédiats sur les serveurs concernés.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Une faille qui joue sur l’affichage des mails
Référencée CVE-2026-42897 (CVSS 8.1), la vulnérabilité en question concerne les installations locales d’Exchange Server, plus précisément Exchange Server 2016 CU23, Exchange Server 2019 CU14 et CU15, ainsi qu’Exchange Server Subscription Edition RTM.
Dans le détail, le problème vient du traitement des contenus dans Outlook Web Access (OWA). Lorsqu’un mail piégé est ouvert dans le webmail, du JavaScript peut s’exécuter dans le navigateur de la victime comme s’il appartenait à la page Exchange consultée. L’attaquant n’a donc pas besoin de se connecter au serveur ni de disposer d’un compte compromis au départ, mais seulement d’amener sa cible à ouvrir le message dans OWA.
Une fois lancé, le script peut manipuler l’interface, interagir avec les éléments accessibles depuis la session ou préparer d’autres actions malveillantes, selon le compte visé et les protections en place.
En attendant le patch, Microsoft limite la casse
La faille ne donne donc pas directement les clés du serveur Exchange, mais elle touche une interface de messagerie professionnelle, donc sensible. Plus embêtant encore, elle est déjà exploitée dans des attaques. Microsoft n’a pas encore publié de correctif définitif, mais a en revanche déployé une mesure d’atténuation temporaire via l’Exchange Emergency Mitigation Service, intégré à Exchange et activé par défaut.
En clair, les serveurs Exchange capables de communiquer avec les services de Microsoft peuvent récupérer automatiquement cette protection provisoire, le temps qu’un vrai patch soit disponible. Les environnements isolés ou déconnectés doivent, quant à eux, passer par la procédure manuelle publiée par l’éditeur.
Côté administrateurs, il faut donc vérifier que la mitigation liée à CVE-2026-42897 a bien été appliquée, surveiller l’arrivée du correctif officiel, puis l’installer sans tarder. Gardez également un œil sur les signes habituels de compromission de messagerie, notamment les connexions suspectes à OWA, les règles de boîte ajoutées sans raison ou les redirections qui sortent de nulle part.
Une vulnérabilité zero-day est une faille de sécurité connue des attaquants avant qu’un correctif officiel ne soit disponible (parfois même avant qu’elle ne soit publiquement documentée). Le risque est plus élevé car les organisations n’ont pas de patch prêt à déployer et doivent se reposer sur des mesures de contournement. Quand elle est « déjà exploitée », cela signifie qu’il existe au moins une campagne d’attaque active qui l’utilise, ce qui réduit fortement le temps de réaction. Dans ce contexte, la priorité est la réduction de la surface d’attaque (mitigations, filtrage, durcissement) et la détection d’activité anormale, en attendant le correctif.
Que permet une attaque de type XSS dans Outlook Web Access lorsqu’un e-mail piégé exécute du JavaScript dans le navigateur ?Une XSS (Cross-Site Scripting) survient quand du code (souvent JavaScript) injecté via un contenu malveillant s’exécute dans le navigateur avec le “contexte” du site légitime. Concrètement, le script peut lire ou modifier des éléments affichés, manipuler l’interface et interagir avec ce que la session de l’utilisateur autorise (selon les protections, cookies, jetons, politiques de sécurité, etc.). Ce n’est pas forcément une prise de contrôle directe du serveur, mais c’est un point d’entrée sérieux pour du vol d’informations, des actions à la place de l’utilisateur ou des enchaînements vers d’autres attaques. La gravité dépend beaucoup des droits de la victime (utilisateur standard vs compte admin) et des mécanismes de défense côté navigateur et application.
À quoi sert l’Exchange Emergency Mitigation Service et en quoi une « mitigation » diffère-t-elle d’un patch ?L’Exchange Emergency Mitigation Service est un mécanisme intégré à Exchange Server qui peut appliquer rapidement des mesures de réduction de risque sans attendre un correctif complet. Une mitigation bloque ou limite un vecteur d’attaque (par exemple en désactivant une fonctionnalité vulnérable, en ajoutant des règles de filtrage ou en modifiant un comportement), mais ne corrige pas forcément la cause profonde dans le code. Un patch, lui, modifie le logiciel pour supprimer la vulnérabilité et reste la solution durable. Ces mitigations nécessitent généralement que le serveur puisse récupérer les protections, sinon il faut appliquer les actions manuellement et vérifier leur prise en compte.
