Microsoft publie des protections contre une vulnérabilité grave sur Exchange Server. Des attaquants exploitent cette faille pour exécuter du code arbitraire par cross-site scripting contre les usagers d’Outlook on the web.
La société qualifie cette lacune de sécurité, répertoriée sous CVE-2026-42897, comme une vulnérabilité d’usurpation. Elle touche les versions récentes de Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition.
Les correctifs définitifs manquent encore. Microsoft précise que le Exchange Emergency Mitigation Service (EEMS) déploie une protection automatique sur les serveurs locaux Exchange Server 2016, 2019 et Subscription Edition.
Un attaquant envoie un courriel piégé à une victime. Celle-ci clique dans Outlook Web Access et remplit des conditions précises : du JavaScript s’exécute alors dans le navigateur.
L’équipe Exchange conseille d’activer EEMS sans délai pour bloquer la faille. Ce service échoue sur les serveurs antérieurs à mars 2023.
Microsoft lance EEMS en septembre 2021. Ce mécanisme défend les serveurs locaux exposés sur Internet. Il applique des parades provisoires contre les vulnérabilités à haut risque en pleine exploitation.
EEMS fonctionne comme un service Windows sur les serveurs de boîtes aux lettres avec rôle Mailbox. Il s’active par défaut sur ces machines. Microsoft l’ajoute après les attaques massives via les failles zero-day ProxyLogon et ProxyShell.
Les administrateurs de réseaux isolés téléchargent la dernière version de l’Exchange on-premises Mitigation Tool (EOMT). Ils exécutent le script en shell de gestion Exchange Management Shell avec une commande élevée.
Microsoft prévoit des mises à jour pour Exchange SE RTM, Exchange 2016 CU23, Exchange 2019 CU14 et CU15. Les clients doivent s’inscrire au programme Exchange Server ESU pour les obtenir.
En octobre, la CISA et la NSA publient un guide. Ces agences aident les responsables IT à renforcer les serveurs Exchange après la fin de support de 2016 et 2019.