Correction critique : Vulnérabilité zero-day sur Microsoft Exchange Server

Microsoft a publié des correctifs pour une vulnérabilité critique activement exploitée sur les serveurs Exchange. Cette faille de type « spoofing » permet à des attaquants distants, ne nécessitant aucun privilège, d’exécuter du code JavaScript arbitraire via des attaques par Cross-Site Scripting (XSS).

Points clés :

• Vulnérabilité exploitée : La faille est activement utilisée dans des attaques réelles ; elle a été ajoutée au catalogue des vulnérabilités connues exploitées (KEV) de la CISA.
• Vecteur d’attaque : Un attaquant envoie un e-mail piégé à une victime. L’exécution du code malveillant se déclenche lorsque l’utilisateur ouvre l’e-mail dans Outlook Web Access (OWA).
• Versions affectées : Exchange Server 2016, 2019 et Subscription Edition (SE).

Vulnérabilité identifiée :

• CVE-2026-42897 : Faille de spoofing de haute sévérité permettant une exécution de code JavaScript arbitraire dans le contexte du navigateur.

Recommandations :

• Appliquer les correctifs : Installer immédiatement les mises à jour de sécurité de juin 2026 pour toutes les versions d’Exchange Server concernées.
• Maintenir les mesures d’atténuation : Ne pas supprimer les mesures de protection temporaires déployées via le service EEMS (Exchange Emergency Mitigation Service) ; elles offrent une couche de défense supplémentaire et complémentaire aux correctifs.

Source