Aller au contenu
Kreomnis.Vigie
CVE-2026-42897Élevée8.1 KEV

Exchange / OWA : un XSS exploité, pas la RCE serveur qu'annonçaient les titres

Publiée le 13/06/2026// Kreomnis
CVSS 3.1
8.1
EPSS : probabilité d'exploitation
-
Source : FIRST.org, modèle EPSS v3
Produits/versions affectés
  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition
CISA KEV : exploitation observée

Cette vulnérabilité est inscrite au catalogue des vulnérabilités activement exploitées de la CISA. Traitement prioritaire recommandé.

Le contexte

CVE-2026-42897 a été largement présentée comme une « faille Exchange critique » : de quoi évoquer une RCE serveur de plus dans la lignée ProxyLogon. La réalité technique est différente, et c'est tout l'intérêt pédagogique du cas : il s'agit d'un spoofing reposant sur une faille XSS (CWE-79) dans la génération de contenu web côté Outlook on the Web (OWA). CVSS 8.1.

Microsoft a confirmé l'exploitation active le 14 mai 2026 (divulgation et exploitation simultanées, scénario zero-day classique). CISA l'a ajoutée au KEV le 15 mai. La faille touche Exchange Server 2016, 2019 et Subscription Edition ; Exchange Online n'est pas concerné.

La mécanique

Un attaquant non authentifié envoie un e-mail spécialement forgé. Lorsque la cible l'ouvre dans OWA et que certaines conditions d'interaction sont réunies, du JavaScript fourni par l'attaquant s'exécute dans le contexte du navigateur de l'utilisateur connecté.

Ce n'est donc pas l'exécution de code sur le serveur Exchange, mais dans la session web de la victime. Les conséquences restent sérieuses :

  • vol de session / de jetons,
  • usurpation (spoofing) d'actions au nom de l'utilisateur,
  • accès au contenu de la boîte et pivot vers d'autres ressources accessibles depuis la session OWA.

L'angle « média vs réalité technique » : un XSS dans le client web n'est pas une RCE serveur, mais sur une messagerie d'entreprise, l'impact sur la confidentialité et l'intégrité justifie pleinement le score 8.1 et l'inscription au KEV.

Versions impactées

| Produit | Statut | | --- | --- | | Exchange Server 2016 / 2019 / Subscription Edition | Vulnérable | | Exchange Online | Non concerné |

Remédiation

  1. Appliquer le correctif permanent livré avec le Security Update de juin 2026. C'est la fermeture définitive.
  2. Mitigation de mai (en attendant le SU de juin) : Microsoft recommandait l'usage d'EEMS (Exchange Emergency Mitigation Service) et de l'EOMT : une mitigation seule, à compléter impérativement par le patch.
  3. Maintenir EEMS actif sur les serveurs Exchange exposés pour bénéficier des mitigations d'urgence futures.

Chasse à la compromission

  • E-mails forgés déclenchant du script à l'ouverture dans OWA (corréler avec les journaux OWA).
  • Sessions OWA détournées : connexions anormales, actions de boîte non sollicitées, règles de transfert suspectes.
  • Indices d'exfiltration ou de pivot depuis des sessions web compromises depuis le 14 mai.

Ce qu'il faut retenir

Étiquetée « faille Exchange critique », c'est en réalité un XSS dans OWA : pas de RCE serveur, mais vol de session et usurpation bien réels. Lire au-delà du titre change la priorisation et la réponse.

Pour les RSSI et SOC :

  • Patch via le SU de juin (KEV), EEMS/EOMT en attendant et EEMS laissé actif ensuite.

  • Distinguez la classe de vulnérabilité : un XSS client n'appelle pas la même chasse qu'une RCE serveur (on regarde les sessions, pas les webshells serveur en premier).

  • La messagerie reste un vecteur d'entrée : le contenu reçu est hostile par défaut, y compris pour le client web.

  • Kreomnis

Références

#microsoft#exchange#owa#xss#spoofing#kev