Microsoft warns of Exchange zero-day flaw exploited in attacks
Mis à jour :
Alerte de sécurité : Vulnérabilité Zero-Day critique sur Microsoft Exchange
Microsoft a émis un avertissement concernant une faille de sécurité activement exploitée affectant les serveurs Exchange Server 2016, 2019 et Subscription Edition (SE). Cette vulnérabilité permet à des attaquants d’exécuter du code arbitraire (JavaScript) via une attaque de type Cross-Site Scripting (XSS) lorsqu’un utilisateur ouvre un e-mail piégé dans Outlook sur le Web.
Points clés :
- Vulnérabilité : CVE-2026-42897 (Spoofing).
- Impact : Exécution de code arbitraire dans le contexte du navigateur de l’utilisateur.
- État : Actuellement exploitée ; aucun correctif permanent disponible pour le moment.
- Restrictions : Les mises à jour futures seront limitées aux clients inscrits au programme de support étendu (ESU).
Recommandations :
- Activation du service EEMS : Assurez-vous que le service Exchange Emergency Mitigation Service est activé sur vos serveurs. Notez qu’il nécessite une version d’Exchange postérieure à mars 2023 pour fonctionner.
- Environnements isolés (Air-gapped) : Utilisez l’outil Exchange on-premises Mitigation Tool (EOMT) en exécutant la commande PowerShell dédiée :
.\EOMT.ps1 -CVE "CVE-2026-42897". - Effets secondaires à anticiper : L’application de la mesure d’atténuation peut entraîner des dysfonctionnements mineurs, notamment :
- L’impossibilité d’imprimer les calendriers via OWA.
- L’affichage incorrect d’images dans le volet de lecture d’OWA.
- Le dysfonctionnement de la version “Light” d’OWA.
- Alternatives : Pour pallier ces effets secondaires, privilégiez l’utilisation du client Outlook Desktop.