資安研究人員Vsevolod Kokorin（Slonser）聲稱，他發現可假冒微軟資安團隊的欺騙漏洞，攻擊者可藉此從任意的來源，向用戶發送訊息。

然而，這名研究人員指出，微軟收到他的通報資料後表示，他們無法重現漏洞，即使是研究人員補充提供完整的概念性驗證（PoC）攻擊影片，該公司仍舊回覆無法完成相關驗證。對此，Vsevolod Kokorin表示決定停止繼續溝通，並公開此事，但並未透露細節，以防有人試圖利用。

根據研究人員的推文內容，我們難以判斷漏洞的影響範圍，究竟存在漏洞可被利用的是收信軟體Outlook，還是雲端電子郵件信箱服務Outlook.com，抑或是其他的環節？目前仍不得而知。

I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv

— slonser (@slonser_) June 14, 2024

這名研究人員也向科技新聞網站TechCrunch展示這項漏洞，該媒體也確實收到看起來像是從微軟帳號資安團隊寄來的電子郵件。研究人員向該媒體透露，這項弱點只會在攻擊者寄信給Outlook的使用者帳號才會出現。

針對通報漏洞的過程，研究人員向TechCrunch透露，當時微軟回覆表示，在沒有提供細節的情況下，該公司無法重現漏洞。但當他透過X公開此事的數個小時後，微軟似乎留意到他的推文，並重新檢視數個月前通報的內容。是否有其他人發現這項漏洞，並將其用於攻擊行動？目前仍不得而知，也不清楚微軟是否對漏洞進行了修補。微軟也並未針對此事進行公開說明。

值得留意的是，TechCrunch提及了去年傳出中國駭客組織Storm-0558濫用外流的MSA簽章金鑰，存取25個歐美政府組織的Outlook Web Access in Exchange Online（OWA）、Outlook.com電子郵件信箱的事故，根據這項說法，研究人員發現的漏洞，很有可能出現於Outlook.com。