CVE-2026-42897 : Faille Exchange OWA, pas de patch

Publié le mai 26, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

CVE-2026-42897 est une faille XSS zero-day de score CVSS 8.1 dans Exchange OWA, confirmée comme activement exploitée depuis le 14 mai 2026. Aucun correctif permanent n’existe. L’atténuation EEMS présente des lacunes documentées pour les utilisateurs en mode IE.

En résumé: Activez EEMS sur chaque nœud Exchange aujourd’hui, bloquez l’accès OWA en mode IE, et préparez les mises à niveau CU afin que le correctif permanent — prévu vers le 10 juin — puisse être déployé dans les heures suivant sa publication.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
▾

Exchange sur site est courant dans les banques, le gouvernement et les grandes entreprises algériennes ; OWA est souvent l’interface webmail principale

Infrastructure prête ?
Partiel
▾

le déploiement d’EEMS est inégal ; de nombreux serveurs algériens issus d’installations héritées ont EEMS désactivé

Compétences disponibles ?
Partiel
▾

des compétences en administration Exchange existent dans les grandes entreprises ; les PME et les organisations de taille moyenne peuvent manquer d’expertise Exchange interne

Calendrier d’action
Immédiat
▾

inscrit au catalogue KEV de la CISA, exploitation active confirmée, délai fédéral au 29 mai

Parties prenantes clés
Directeurs informatiques, administrateurs systèmes, RSSI, propriétaires d’Exchange Server dans les banques, télécoms et administrations
▾

Assessment: Directeurs informatiques, administrateurs systèmes, RSSI, propriétaires d’Exchange Server dans les banques, télécoms et administrations. Review the full article for detailed context and recommendations.

Type de décision
Tactique
▾

Assessment: Tactique. Review the full article for detailed context and recommendations.

En bref: Les organisations algériennes exécutant Exchange Server sur site doivent traiter CVE-2026-42897 comme un événement de réponse aux incidents de niveau 1 aujourd’hui. Activez EEMS sur chaque nœud Exchange, auditez les chemins d’accès OWA en mode IE qui ne sont pas protégés par l’atténuation, et préparez les mises à niveau des mises à jour cumulatives afin que le correctif permanent — prévu vers le 10 juin — puisse être déployé dans les heures suivant sa publication.

Un Seul Email Peut Compromettre Votre Boîte Exchange

La mécanique de CVE-2026-42897 est trompeusement simple : un attaquant envoie un email spécialement conçu vers une boîte aux lettres cible. Lorsque le destinataire ouvre ce message via Outlook Web Access (OWA), du JavaScript arbitraire s’exécute dans le contexte du navigateur — sans interaction supplémentaire de l’utilisateur, sans boîte de dialogue d’activation de macro, sans plugin requis. La faille est classée comme une neutralisation incorrecte des entrées lors de la génération de pages web (CWE-79), la catégorie formelle des vulnérabilités de type cross-site scripting.

Microsoft a divulgué la vulnérabilité le 14 mai 2026 et a confirmé une exploitation active au moment de la divulgation. Le score CVSS de base de 8.1 reflète la faible complexité de l’attaque et le fort potentiel d’impact sur la confidentialité et l’intégrité. Le reportage de BleepingComputer sur la faille zero-day Exchange a confirmé que les trois versions d’Exchange Server sur site actuellement supportées sont affectées : Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition (SE).

Ce qui rend cette vulnérabilité particulièrement dangereuse, c’est le calendrier. Le Patch Tuesday du 12 mai 2026 a corrigé 138 vulnérabilités — mais CVE-2026-42897 n’en faisait pas partie. Deux jours plus tard, la faille zero-day était divulguée et confirmée comme activement exploitée, laissant les organisations sans correctif permanent dans le cycle mensuel standard. Le blog TechCommunity de Microsoft sur la vulnérabilité Exchange de mai 2026 a confirmé que des correctifs permanents sont prévus pour Exchange SE RTM, Exchange 2016 CU23 et Exchange 2019 CU14/CU15 — mais la date de publication reste non annoncée fin mai 2026.

La Situation des Mesures d’Atténuation Est Plus Complexe Qu’il n’y Paraît

La réponse d’atténuation principale de Microsoft repose sur deux outils : l’Exchange Emergency Mitigation Service (EEMS) pour les serveurs connectés à Internet, et l’Exchange On-premises Mitigation Tool (EOMT) pour les environnements isolés accessibles via PowerShell. EEMS applique automatiquement des protections provisoires lorsqu’il est activé, ce qui en fait la défense la plus rapide disponible pour la plupart des organisations.

Le problème, comme l’a rapporté TechTimes le 19 mai, est que l’atténuation comporte des lacunes documentées, mises à jour le 18 mai. Plus précisément :

Internet Explorer et le mode de compatibilité IE ne sont pas protégés. Les organisations dont les utilisateurs accèdent à OWA via Internet Explorer ou Microsoft Edge en mode de compatibilité IE restent entièrement exposées, même après l’application du correctif EEMS.
Les clients hérités ne sont pas couverts. Tout environnement qui achemine encore les utilisateurs via des clients IE-compatibles ne bénéficie d’aucune atténuation efficace d’EEMS.

Au-delà des lacunes de protection, l’application de l’atténuation casse des fonctionnalités légitimes. La fonction d’impression du calendrier OWA cesse de fonctionner. Les images intégrées ne s’affichent plus correctement dans les volets de lecture. L’interface OWA Light héritée (accessible via /?layout=light) cesse entièrement de fonctionner. Le healthset OWACalendar.Proxy signale un état défaillant, déclenchant de fausses alertes de surveillance.

La CISA a ajouté CVE-2026-42897 à son catalogue de vulnérabilités exploitées connues le 15 mai 2026, un jour après la divulgation. Les agences civiles exécutives fédérales (FCEB) disposent jusqu’au 29 mai 2026 pour appliquer les mesures d’atténuation.

Ce Que les Équipes de Sécurité d’Entreprise Doivent Faire Maintenant

La combinaison d’une exploitation active, d’un correctif permanent inexistant, d’une inscription au catalogue KEV de la CISA et de lacunes d’atténuation documentées fait de cela un événement de réponse de niveau 1.

1. Vérifier le Statut EEMS et l’Activer Immédiatement sur Chaque Serveur Exchange

EEMS est fourni désactivé par défaut sur de nombreux déploiements sur site, notamment ceux installés avant 2024. Exécutez la vérification PowerShell suivante sur chaque serveur Exchange :

« Get-ExchangeDiagnosticInfo -Server <NomServeur> -Process EdgeTransport -Component VariantConfiguration -Setting Orchestrator «

Si EEMS n’est pas en cours d’exécution, activez-le immédiatement conformément aux recommandations de l’équipe Exchange. Pour les serveurs isolés qui ne peuvent pas atteindre le point de terminaison d’atténuation de Microsoft, déployez EOMT manuellement. N’assumez pas que les serveurs hérités d’acquisitions ou d’environnements legacy ont EEMS activé.

2. Inventorier et Isoler les Chemins d’Accès OWA Dépendants d’IE

La lacune de protection EEMS confirmée pour Internet Explorer n’est pas un cas limite théorique. De nombreux environnements d’entreprise — notamment dans la fabrication, la santé et le secteur public — exécutent des applications métier dans des conteneurs IE ou utilisent le mode de compatibilité IE d’Edge. Extrayez les journaux d’accès de vos serveurs Exchange et identifiez les sessions OWA utilisant des chaînes d’agent utilisateur IE. La stratégie de groupe peut bloquer l’accès OWA en mode IE tout en permettant l’utilisation d’IE pour d’autres outils internes.

3. Renforcer le Routage des URL OWA et Surveiller les Indicateurs XSS

Étant donné que l’exploit délivre du JavaScript via un corps d’email malveillant, le filtrage par passerelle email standard constitue un contrôle compensatoire significatif — mais uniquement pour le contenu que la passerelle peut inspecter. Une fois le JavaScript exécuté dans le contexte du navigateur OWA, l’attaquant a accès aux cookies de session et peut exfiltrer silencieusement le contenu de la boîte aux lettres. Configurez une surveillance comportementale pour l’activité OWA anormale : accès en dehors des heures de bureau, accès massif aux emails, demandes d’export de calendrier, ou création de règles de transfert.

4. Préparer les Correctifs et les Tester sur Vos Personnalisations

Microsoft a confirmé que des correctifs permanents arrivent pour Exchange SE RTM, Exchange 2016 CU23 et Exchange 2019 CU14 et CU15. Les organisations exécutant des mises à jour cumulatives plus anciennes doivent mettre à niveau leur base CU maintenant. Les mises à niveau CU d’Exchange ne sont pas triviales sur les systèmes comportant des agents de transport personnalisés, des solutions d’archivage tierces ou des configurations hybrides. Avoir ce travail préliminaire effectué signifie que vous pouvez appliquer le correctif permanent dans les heures suivant sa publication.

Le Risque Structurel : Exchange Sur Site Est Encore Partout

CVE-2026-42897 touche une base installée bien plus large que les calendriers de migration cloud ne le suggèrent. Microsoft 365 a conquis une position dominante pour les nouveaux déploiements, mais la migration d’Exchange sur site vers Exchange Online reste incomplète dans les grandes entreprises et les secteurs réglementés. Les régulateurs financiers, les systèmes de santé et les agences gouvernementales dans de nombreuses juridictions imposent des exigences de résidence des données qui font d’Exchange sur site la seule option conforme.

L’Exchange Server Subscription Edition lui-même — le rebranding 2025 par Microsoft d’Exchange sur site en produit à licence perpétuelle — est un aveu tacite que la base installée sur site ne disparaîtra pas. CVE-2026-42897 est, en substance, une vulnérabilité que Microsoft devra corriger dans un produit qu’il s’est explicitement engagé à maintenir indéfiniment.

Pour les équipes de sécurité, la leçon est structurelle : Exchange sur site requiert la même cadence de réponse zero-day que les applications web orientées Internet — car OWA est, fonctionnellement, une application web orientée Internet.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

CVE-2026-42897 affecte-t-elle Exchange Online / Microsoft 365 ?

Non. La vulnérabilité est spécifique à Exchange Server sur site (versions 2016, 2019 et Subscription Edition). Exchange Online est un service cloud distinct géré par Microsoft, et Microsoft a confirmé qu’il n’est pas affecté. Les organisations qui ont entièrement migré vers Exchange Online n’ont aucune exposition à ce CVE.

Que bloque concrètement l’atténuation EEMS ?

L’Exchange Emergency Mitigation Service applique des règles de filtrage côté serveur qui empêchent les constructions HTML malveillantes utilisées par la chaîne d’exploitation connue d’atteindre le moteur de rendu OWA. Cependant, au 18 mai, Microsoft a confirmé qu’il ne protège pas les utilisateurs accédant à OWA via Internet Explorer ou Edge en mode de compatibilité IE. L’atténuation désactive également la fonction d’impression du calendrier, casse l’affichage des images intégrées et rend le mode OWA Light non fonctionnel.

Quand le correctif permanent sera-t-il disponible ?

Microsoft n’a pas annoncé de date de publication fin mai 2026. Le prochain Patch Tuesday après la divulgation est le 10 juin 2026, qui est la première date probable. Des correctifs permanents sont prévus pour Exchange SE RTM, Exchange 2016 CU23 et Exchange 2019 CU14 et CU15 (ce dernier sous ESU). Les organisations utilisant des mises à jour cumulatives plus anciennes doivent mettre à niveau leur base CU immédiatement afin de pouvoir appliquer le correctif permanent dès sa publication.