Pourquoi la nouvelle faille Exchange met en danger vos emails dès maintenant
charles
Publié le 15 May 2026 · 3 min de lecture
Microsoft a signalé une faille de sécurité de haute gravité affectant Exchange Server, identifiée sous la référence CVE-2026-42897. La vulnérabilité est déjà exploitée dans des attaques réelles, et aucun correctif permanent n'est disponible à ce stade.
Le problème touche les versions à jour d'Exchange Server 2016, 2019 et Exchange Server Subscription Edition (SE). L'éditeur a publié des mesures d'atténuation temporaires en attendant un patch officiel.
A lire aussi
- Une faille NGINX de 18 ans explose à la surface et ouvre tout aux hackers
- iOS 26.5 corrige plus de 50 failles de sécurité sur iPhone
Comment fonctionne l'attaque
La faille est classée comme une vulnérabilité de type spoofing et repose sur une injection de script inter-sites (XSS). Un attaquant envoie un email spécialement conçu à une cible. Si celle-ci ouvre le message via Outlook Web Access (OWA), du code JavaScript arbitraire peut s'exécuter dans le navigateur.
L'exploitation dépend de certaines conditions d'interaction de la part de l'utilisateur, mais le vecteur d'attaque reste accessible : un simple email suffit à initier la chaîne. Les serveurs Exchange exposés à internet représentent donc une surface d'attaque directe.
Les mesures d'atténuation disponibles
Microsoft recommande en priorité d'activer ou de vérifier l'état de l'Exchange Emergency Mitigation Service (EEMS), un service Windows intégré aux serveurs Exchange depuis septembre 2021. Il applique automatiquement des protections temporaires pour les vulnérabilités à haut risque.
Pour que l'EEMS fonctionne correctement, le serveur doit tourner sur une version d'Exchange publiée après mars 2023. Les administrateurs dont les serveurs sont isolés du réseau peuvent appliquer manuellement la mitigation via l'outil EOMT en ligne de commande, depuis un Exchange Management Shell avec élévation de privilèges.
L'application de ces mesures entraîne quelques effets de bord : la fonction d'impression du calendrier OWA peut ne plus fonctionner, les images intégrées aux emails risquent de ne plus s'afficher dans le volet de lecture, et OWA en mode léger devient inutilisable. Microsoft suggère d'utiliser le client Outlook desktop en attendant.
Les correctifs : qui sera couvert
Microsoft prévoit de publier des patches pour Exchange SE RTM, Exchange 2016 CU23, ainsi que pour Exchange Server 2019 CU14 et CU15. Les mises à jour pour Exchange 2016 et 2019 seront toutefois réservées aux clients inscrits au programme Extended Security Updates (ESU) de période 2.
Les organisations qui n'ont pas souscrit à ce programme et utilisent encore Exchange 2016 ou 2019 ne recevront donc pas de correctif, même une fois celui-ci disponible. Ces deux versions ont atteint la fin de leur support standard en octobre dernier.
Un contexte de menaces persistantes sur Exchange
Ce nouvel incident s'inscrit dans un historique de vulnérabilités graves ciblant Exchange Server. L'EEMS avait d'ailleurs été introduit en réponse aux exploitations massives des failles ProxyLogon et ProxyShell, qui avaient touché des milliers de serveurs avant que des correctifs ne soient disponibles.
La découverte de CVE-2026-42897 rappelle que ces serveurs restent une cible prioritaire pour les attaquants, en particulier lorsque les mises à jour régulières ne sont pas appliquées.
Source : Bleeping Computer
