Microsoft a confirmé une vulnérabilité critique dans les versions sur site de Exchange Server, enregistrées comme CVE-2026-42897 qui est activement exploité dans des environnements réels. C'est un type d'échec. l'inscription croisée (XSS) qui permet le spoofing: un attaquant peut envoyer un courriel spécialement conçu qui, si le destinataire l'ouvre dans Outlook Web Access (OWA) et effectue certaines interactions, permet l'exécution arbitraire de JavaScript dans le contexte du navigateur de l'utilisateur.
La nature de cet échec le rend particulièrement dangereux en combinaison avec les techniques d'ingénierie sociale: le vecteur initial n'exige pas d'identifications engagées ou un accès préalable au serveur, il suffit pour l'utilisateur cible de visualiser ou d'interagir avec le message en OWA. Bien que Microsoft ait attribué un CVSS élevé (8.1) et marqué l'incidence comme "Exploitation détectée", des détails médico-légaux sur l'acteur, les campagnes ou l'échelle des intrusions n'ont pas encore été publiés, ce qui complique l'attribution et l'étendue réelle des dommages.
Il est important de souligner que Exchange Online n'est pas affecté mais les installations locales de Exchange Server 2016, 2019 et Subscribe Edition sont à tout niveau de mise à jour. Microsoft a permis une atténuation temporaire automatique grâce à son Service d'échange d'atténuation des urgences (SEAE); les administrateurs peuvent consulter la documentation officielle à la page EEMS pour confirmer l'état et la configuration de ce service.
Pour les environnements isolés par les politiques d'aération ou incapables d'utiliser l'atténuation automatique, Microsoft a publié l'outil d'atténuation sur site Exchange (EOMT). Le lien court officiel est https: / / aka.ms / UnifiedEOMT, et l'exécution typique pour appliquer l'atténuation serait, par exemple, à exécuter . Shell ou utilisez une commande qui passe par des serveurs avec Get-ExchangeServer pour l'appliquer à tous.
Au-delà de l'application des mesures d'atténuation prévues, les organisations devraient supposer que l'exposition à l'OTA augmente le risque : examiner et activer l'atténuation automatique (EEMS) et confirmer que le service Windows correspondant fonctionne, ou appliquer EOMT si le réseau est déconnecté. Pendant ce temps, réduire la surface d'attaque en limitant l'accès externe à OWA par des listes de contrôle d'accès, des réseaux privés virtuels, ou un WAF avec des règles pour bloquer les charges utiles suspectes, et forcer l'authentification multifactorielle pour l'accès web si possible.
En plus des mesures de confinement, il intègre des tâches de détection et de réponse: inspecter les dossiers de l'OWA et du serveur Exchange à la recherche d'accès inhabituel, d'en-tête ou de paramètres contenant des scripts, et pivoter dans les boîtes aux lettres qui pourraient recevoir des courriels suspects. S'il y a suspicion d'exploitation, préserver les preuves, isoler les serveurs touchés et contacter l'équipe interne de soutien et d'intervention ou Microsoft pour coordonner l'enquête.
L'exposition prolongée de serveurs sur site sans correctifs ni atténuations modernes fait de ce type de vulnérabilité un impact disproportionné. En tant que pratique de sécurité, prévoyez d'appliquer le patch final dès que Microsoft le publiera, de revoir l'architecture pour réduire les unités critiques dans les services exposés et de mettre à jour les processus de réponse aux incidents pour couvrir les attaques basées sur le Web et spoofing.
Pour rester informé et obtenir des instructions précises pour l'application des mesures d'atténuation et des correctifs, consultez les sources officielles de Microsoft et la documentation sur la réponse à la vulnérabilité : EEMS et EOMT (outil d'atténuation). Il est également recommandé de s'abonner aux bulletins de sécurité et aux flux de renseignements de vulnérabilité pour obtenir des mises à jour et des détails techniques supplémentaires.
Si vous administrez un serveur Exchange affecté, agissez en priorité : appliquer les mesures d'atténuation appropriées dès maintenant, surveiller les preuves de l'engagement et se préparer à déployer le dispositif permanent dès qu'il est disponible. La coordination entre les équipes de TI, de sécurité et de communication interne est essentielle pour minimiser les risques et contenir des campagnes possibles pour ses utilisateurs.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Fox Temper expose la fragilité de la signature numérique dans le cloud
La divulgation par Microsoft du fonctionnement de "malware-signing-as-a-service" connu comme Fox Temper remplace au centre la vulnérabilité la plus critique de l'écosystème logi...
Trapdoor: l'opération anti-dumping qui a transformé les applications Android en une usine automatique de revenus illicites
Les chercheurs en cybersécurité ont découvert une opération de fraude au dumping et à la publicité mobile Piège, qui transforme les installations d'application Android légitimes...
De l'avertissement à l'orchestration et à l'action de l'AI pour accélérer la réponse aux incidents de réseau
Les équipes informatiques et de sécurité vivent une réalité bien connue : un flot constant d'alertes des plateformes de surveillance, des systèmes d'infrastructure, des services...
Nx Console in check: comment une extension de productivité est devenue un vol d'identité et une menace pour la chaîne d'approvisionnement
Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Vis...