**Microsoft** a déployé des correctifs critiques pour une vulnérabilité activement exploitée affectant **Exchange Server**. La faille, identifiée comme **CVE-2026-42897**, est une vulnérabilité d'usurpation de haute gravité qui permet aux acteurs malveillants d'exécuter du code JavaScript arbitraire au sein des sessions **Outlook Web Access** (OWA). ### Explication de la vulnérabilité **CVE-2026-42897** affecte **Exchange Server 2016**, **Exchange Server 2019**, et **Exchange Server Subscription Edition (SE)**. Elle peut être exploitée par des attaquants distants sans nécessiter de privilèges préalables. Le vecteur d'attaque implique l'envoi d'un e-mail spécialement conçu à un utilisateur. Si l'utilisateur ouvre cet e-mail dans **Outlook Web Access** et que des conditions d'interaction spécifiques sont remplies, du JavaScript malveillant peut être exécuté dans le contexte du navigateur de l'utilisateur. ### Réponse et atténuation de Microsoft **Microsoft** a d'abord traité ce problème à la mi-mai en déployant des atténuations temporaires automatiques via le **Exchange Emergency Mitigation Service (EEMS)**. Cependant, hier, l'entreprise a publié des mises à jour de sécurité complètes pour résoudre définitivement la faille dans les installations **Exchange Server** affectées. Il est fortement recommandé aux administrateurs de déployer ces mises à jour de sécurité de juin 2026 dès que possible. **Microsoft** recommande également de maintenir les atténuations précédemment mises en place, car elles fournissent une couche de défense supplémentaire et assurent une protection continue. ### Avertissement de la CISA et contexte historique La **Cybersecurity and Infrastructure Security Agency (CISA)** a ajouté **CVE-2026-42897** à son **catalogue des vulnérabilités connues et exploitées**, soulignant son exploitation active dans la nature. La **CISA** a ordonné aux agences gouvernementales américaines de patcher leurs serveurs dans les deux semaines suivant l'alerte, soit avant le 29 mai. Ce n'est pas un incident isolé pour **Microsoft Exchange Server**. Au cours des cinq dernières années, la **CISA** a catalogué 20 vulnérabilités **Exchange Server** comme étant activement exploitées, dont 14 ont été utilisées par des gangs de ransomware. En octobre, suite à la fin du support pour **Exchange 2016** et **2019**, la **CISA** et la **National Security Agency (NSA)** ont également publié des directives conjointes sur le renforcement des **serveurs Exchange** contre les attaques potentielles. Les organisations exécutant les versions **Exchange Server** affectées doivent prioriser l'application immédiate de ces mises à jour de sécurité pour protéger leurs environnements contre les menaces persistantes.