Déjà exploité, il s’agit d’une urgence à « atténuer immédiatement », déclare un expert.
« Parce qu’il est déjà exploité dans la nature, il ne s’agit pas d’une situation d’urgence à corriger la semaine prochaine ; il s’agit d’une urgence à atténuer immédiatement », a prévenu Rob Enderle du groupe Enderle.
« C’est un autre rappel pour trouver un fournisseur cloud de confiance pour le courrier électronique », a ajouté Johannes Ullrich, doyen de la recherche à l’Institut SANS. « Exchange sur site est en train de devenir un produit existant, et même si certaines organisations en ont besoin pour le courrier électronique interne et sortant, sa surface d’attaque doit être minimisée en réduisant son exposition au courrier électronique externe. »
Ullrich commentait cette semaine une alerte de Microsoft concernant une vulnérabilité de script intersite affectant Exchange Outlook Web Access (OWA) qui pourrait être exploitée simplement en envoyant un e-mail spécialement conçu à un utilisateur. Si l’utilisateur ouvre le message dans Outlook Web Access et que certaines conditions d’interaction sont remplies, du JavaScript arbitraire peut être exécuté dans le contexte du navigateur.
Il est difficile d’éviter les problèmes de scripts intersites dans les systèmes de messagerie Web comme Outlook Web Access, a admis Ullrich. Un système de messagerie Web doit inclure les e-mails HTML reçus des utilisateurs dans le code HTML de l’application sans confondre les deux. Des techniques telles que les iFrames en bac à sable peuvent aider, mais doivent être appliquées avec précaution.
Dans le même temps, a-t-il ajouté, les failles de cross-site scripting dans la messagerie Web peuvent généralement être utilisées pour lire le contenu d’un e-mail et, dans certains cas, même pour envoyer un e-mail.
« Heureusement », a-t-il ajouté, « de nombreuses organisations ont abandonné Exchange et Outlook Web Access sur site. »
« Je suppose que c’est mauvais », a déclaré Kellman Meghu, CTO de DeepCove Cybersecurity, « mais il en va de même pour l’exécution d’un serveur Exchange sur site en général. »
Les versions affectées par la vulnérabilité (CVE-2026-42897) sont Exchange Server 2016, 2019 et Server Subscription Edition (SE), quels que soient leurs niveaux de mise à jour.
Le service cloud, Exchange Online, n’est pas affecté.
Atténuation
Microsoft travaille toujours sur un correctif de sécurité. En attendant, les administrateurs Exchange doivent savoir que si le service Exchange EM est activé sur leurs serveurs – et il devrait l’être ; depuis sa sortie en septembre 2021, il est activé par défaut – puis l’atténuation automatique de Microsoft pour cette vulnérabilité a déjà été publiée pour les versions concernées d’Exchange.
Si le service EM, pour une raison quelconque, a été désactivé, il doit être activé immédiatement. Notez cependant qu’EM Service ne sera pas en mesure de vérifier les nouvelles atténuations si le serveur exécute une version d’Exchange Server antérieure à mars 2023.
Ceux qui ne peuvent pas utiliser le serveur EM, parce que, par exemple, ils sont déconnectés ou disposent d’environnements isolés, doivent télécharger la dernière version de l’outil d’atténuation sur site Exchange (EOMT) et appliquer l’atténuation sur une base par serveur, ou sur tous les serveurs à la fois en exécutant le script via un Exchange Management Shell élevé.
Problèmes connus avec les tactiques d’atténuation
Cependant, les administrateurs doivent noter qu’il existe des problèmes connus une fois que l’atténuation est appliquée manuellement ou automatiquement via le service EM.
La fonctionnalité OWA Imprimer le calendrier peut ne pas fonctionner. Pour contourner le problème, copiez les données ou capturez le calendrier que vous souhaitez imprimer, ou utilisez le client Outlook Desktop.
Les images en ligne peuvent ne pas s’afficher correctement dans le volet de lecture OWA du destinataire. Pour contourner le problème, envoyez des images sous forme de pièces jointes à un courrier électronique ou utilisez le client Outlook Desktop.
Le voyant OWA (URL OWA se terminant par ) ne fonctionne pas correctement. Notez que cette fonctionnalité est obsolète depuis plusieurs années et n’est pas destinée à une utilisation régulière en production.
Les administrateurs peuvent recevoir un message indiquant « Atténuation non valide pour cette version d’Exchange ». dans les détails de l’atténuation. Ce problème est cosmétique et l’atténuation s’applique avec succès si le statut est affiché comme « Appliqué ». Microsoft étudie comment résoudre ce problème.
Mises à jour à venir « dans le futur »
On a demandé à un porte-parole de Microsoft quand la mise à jour de sécurité serait publiée. On nous a renvoyé à la déclaration de l’entreprise.
Dans son avertissement, Microsoft indique que les mises à jour de sécurité pour les versions concernées d’Exchange Server arriveront « dans le futur ». Ils concerneront Exchange SE RTM, Exchange 2016 CU23 et Exchange Server 2019 CU14 et CU15. Ceux qui exécutent des versions plus anciennes de CU sont invités à mettre à jour maintenant.
Une mise à jour Exchange SE sera publiée en tant que mise à jour de sécurité accessible au public. Les mises à jour Exchange 2016 et 2019 seront publiées uniquement pour les clients inscrits au programme Exchange Server ESU de la période 2. Les clients ESU de la période 1 uniquement ne recevront pas cette mise à jour, car ce programme a pris fin le mois dernier.
Enderle a déclaré que le fait que Microsoft ait publié un correctif provisoire qui interrompt des fonctionnalités telles que l’impression de calendrier et les images en ligne est « un signe clair de leur désespoir d’arrêter l’hémorragie.
Il s’agit d’un autre « coup de pouce massif » de Redmond pour abandonner la messagerie électronique sur site, a ajouté Enderle. « Si vous ne planifiez pas déjà votre sortie d’Exchange sur site, votre profil de risque ne fera qu’augmenter à mesure que ces jours zéro deviendront la nouvelle norme. Cela montre qu’Azure, et les services Web en général, sont là où le secteur, et en particulier Microsoft, pousse l’informatique, qu’ils le veuillent ou non. «
