Microsoft a corrigé une faille de sécurité affectant ses serveurs Exchange, une vulnérabilité qui fait l’objet d’attaques actives. Cette faille permet à des pirates de déclencher du code JavaScript à l’insu de l’utilisateur via des attaques de type cross-site scripting (XSS) contre les utilisateurs d’Outlook Web Access.
Cette vulnérabilité de haute sévérité, référencée CVE-2026-42897, touche les logiciels Exchange Server 2016, Exchange Server 2019 et Exchange Server Subscription Edition (SE). Des attaquants distants peuvent l’exploiter sans disposer de privilèges préalables sur le système.
L’équipe Exchange a précisé qu’un pirate peut exploiter ce problème en envoyant un email spécialement conçu à une cible. Si la victime ouvre cet email dans Outlook Web Access et que certaines conditions d’interaction sont réunies, du code JavaScript arbitraire s’exécute alors dans son navigateur.
En réaction, Microsoft a déployé à la mi-mai une mesure de protection temporaire et automatique via son Exchange Emergency Mitigation Service (EEMS). L’entreprise a ensuite publié hier des mises à jour de sécurité définitives pour corriger cette faille sur les installations Exchange Server concernées. Elle recommande aux administrateurs de les appliquer « dès que possible » et de maintenir les mesures d’atténuation pour une protection supplémentaire.
Microsoft conseille également aux clients de conserver la solution d’atténuation décrite, car elle offre une couche de défense additionnelle et garantit une protection continue.
De son côté, la Cybersecurity and Infrastructure Security Agency (CISA) a ajouté cette vulnérabilité à son catalogue des failles exploitées activement dès le 15 mai. Elle a donné aux agences du gouvernement américain un délai de deux semaines, soit jusqu’au 29 mai, pour appliquer les correctifs sur leurs serveurs.
Au cours des cinq dernières années, la CISA a répertorié 20 vulnérabilités Microsoft Exchange Server sur cette liste, dont 14 ont été utilisées par des groupes de rançongiciels.
En octobre dernier, quelques semaines après la fin du support pour Exchange 2016 et 2019, la CISA et la National Security Agency (NSA) avaient d’ailleurs publié un guide pour renforcer la sécurité des serveurs Exchange contre les attaques.