Microsoft a confirmé la vulnérabilité critique dans Exchange Server identifié comme CVE-2026-42897 qui permet l'exécution de code dans le contexte du navigateur à travers une attaque de scription de site (XSS) aux utilisateurs d'Outlook sur le web (OWA). L'opération est produite par un courrier spécialement manipulé qui, si le destinataire l'ouvre en OWA et que certaines conditions d'interaction sont remplies, peut exécuter le JavaScript arbitraire et donc permettre du vol de cookies et de jetons de session à des chaînes d'attaque plus complexes qui pivotent au sein du réseau.
L'échec affecte les versions mises à jour de Exchange Server 2016, Exchange Server 2019 et Exchange Server Edition d'abonnement (SE). Microsoft a souligné que, bien qu'aucun correctif final ne soit encore disponible, son Service d'atténuation des urgences d'échange (SEEE) déploiera une atténuation automatique pour protéger les serveurs sur site avec le rôle Mailbox. EEMS fonctionne comme un service Windows et a été conçu précisément pour appliquer des solutions provisoires aux vulnérabilités activement exploitées ; si elle est désactivée, Microsoft recommande de l'activer immédiatement. Plus de détails officiels sont sur le blog de l'équipe d'échange: Équipe d'échange - Microsoft Tech Community.
Pour les environnements isolés (aération) ou les administrateurs qui préfèrent le contrôle manuel, Microsoft offre l'outil d'atténuation Exchange on-premises (EOMT). L'atténuation est appliquée en exécutant le script d'un haut Exchange Management Shell avec des commandes comme .\ EOMT.ps1 -CVE "CVE-2026-42897" sur un seul serveur ou Get-ExchangeServer-124; Où-Object {$_ .ServerRole-ne "Edge" }-124;\ EOMT.ps1-CVE "CVE-2026-42897" pour tous les serveurs ayant des rôles pertinents. Si vous devez comprendre comment EEMS fonctionne et ses exigences avant qu'il ne soit activé, la documentation de Microsoft sur le service est une référence utile: Documentation du Service d ' échange d ' informations sur les mesures d ' urgence.
Il est important que les équipes de sécurité internalisent deux réalités opérationnelles : d'abord, Microsoft a annoncé qu'il lancera des correctifs pour Exchange SE RTM et pour certaines mises à jour cumulatives (CU) de 2016 et 2019, mais les mises à jour pour Exchange 2016 et 2019 ne seront disponibles que pour les clients inscrits au programme ESS Période 2 ; ensuite, Si votre serveur exécute une version avant mars 2023, EEMS ne pourra pas télécharger de nouvelles mesures d'atténuation, qui nécessite un plan manuel d'atténuation ou de mise à jour.
Les implications pratiques vont au-delà du simple patching. Une explosion XSS efficace contre OWA peut entraîner un accès persistant aux comptes, aux mouvements latéraux et à l'exfiltration de données si l'attaquant obtient des jetons valides ou installe des mécanismes de persistance. Il est donc essentiel de réduire la surface d'exposition : envisager de bloquer l'accès externe à OWA du réseau public si possible, forcer l'utilisation du VPN pour l'accès administratif et permettre l'authentification multi-facteurs (MFA) sur le front qui valide les identités avant de présenter l'interface web.
Au niveau opérationnel, agir en priorité : EEMS actif Si disponible, appliquer EOMT dans des environnements isolés, et planifier l'installation des correctifs officiels dès qu'ils sont publiés. En parallèle, surveillez les journaux IIS, les enregistrements OWA et les détections de procurations inverses à la recherche de modèles anormaux qui indiquent des envois de masse avec des charges utiles HTML / JS, des sessions initiées à partir d'emplacements suspects ou des changements aux cookies de session. Si votre organisation maintient Exchange 2016 / 2019 après son objectif de soutien, réévaluer le risque et la nécessité de migrer vers des versions supportées ou de sécuriser un abonnement UDE.
Enfin, coordonnez avec votre équipe d'intervention en cas d'incident pour la recherche rétrospective (recherche) d'indicateurs d'engagement liés aux accès OWA et aux éventuelles infiltrations récentes. Maintenez une posture proactive et appliquez une atténuation automatique ou manuelle réduit maintenant la fenêtre d'exposition jusqu'à l'arrivée des correctifs finaux et empêche un simple clic utilisateur d'entraîner un écart plus grand.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...