La vulnérabilité CVE-2026-42897 est activement exploitée sur les serveurs Microsoft Exchange locaux. Cette faille permet à un attaquant de compromettre le système en envoyant simplement un e-mail malveillant. Le plus grave est qu'aucune authentification n'est requise, ce qui fait de tout serveur exposé une cible facile pour des accès non autorisés et un éventuel vol de données.
Le mécanisme technique derrière l'attaque sans identifiants 🛡️
La faille réside dans le composant de gestion des messages entrants d'Exchange. Lors du traitement d'un e-mail dont les champs d'en-tête ont été manipulés, le service ne valide pas correctement l'entrée avant de la transmettre au moteur d'exécution de commandes. Cela permet d'injecter du code arbitraire dans le contexte du système. Étant donné que le vecteur d'attaque est un simple e-mail, tout serveur dont le port SMTP est ouvert est vulnérable, sans nécessité d'interaction de l'utilisateur ni de privilèges préalables.
L'e-mail qui arrive et le serveur qui s'en va 😅
Il s'avère que la boîte de réception n'apporte plus seulement du spam sur des héritages nigérians, elle apporte désormais aussi un RCE en cadeau. Les attaquants ont découvert que le véritable hameçonnage n'est pas de voler votre mot de passe, mais de voler votre serveur entier avec un simple Bonjour, je suis le patron. Et pendant que Microsoft prépare un correctif, tout ce qu'il nous reste, c'est espérer que l'attaquant ait bon goût et ne supprime pas les photos du bureau.