资安研究人员Vsevolod Kokorin（Slonser）声称，他发现可假冒微软资安团队的欺骗漏洞，攻击者可借此从任意的来源，向用户发送消息。

然而，这名研究人员指出，微软收到他的通报数据后表示，他们无法重现漏洞，即使是研究人员补充提供完整的概念性验证（PoC）攻击视频，该公司仍旧回复无法完成相关验证。对此，Vsevolod Kokorin表示决定停止继续沟通，并公开此事，但并未透露细节，以防有人试图利用。

根据研究人员的推文内容，我们难以判断漏洞的影响范围，究竟存在漏洞可被利用的是收信软件Outlook，还是云端电子邮件信箱服务Outlook.com，抑或是其他的环节？目前仍不得而知。

I want to share my recent case:
> I found a vulnerability that allows sending a message from any user@domain
> We cannot reproduce it
> I send a video with the exploitation, a full PoC
> We cannot reproduce it
At this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv

— slonser (@slonser_) June 14, 2024

这名研究人员也向科技新闻网站TechCrunch展示这项漏洞，该媒体也确实收到看起来像是从微软帐号资安团队寄来的电子邮件。研究人员向该媒体透露，这项弱点只会在攻击者寄信给Outlook的用户帐号才会出现。

针对通报漏洞的过程，研究人员向TechCrunch透露，当时微软回复表示，在没有提供细节的情况下，该公司无法重现漏洞。但当他通过X公开此事的数个小时后，微软似乎留意到他的推文，并重新视图数个月前通报的内容。是否有其他人发现这项漏洞，并将其用于攻击行动？目前仍不得而知，也不清楚微软是否对漏洞进行了修补。微软也并未针对此事进行公开说明。

值得留意的是，TechCrunch提及了去年传出中国黑客组织Storm-0558滥用外流的MSA签章密钥，存取25个欧美政府组织的Outlook Web Access in Exchange Online（OWA）、Outlook.com电子邮件信箱的事故，根据这项说法，研究人员发现的漏洞，很有可能出现于Outlook.com。