تخيّل أن منزلك فيه باب خلفي مخفي لا تعلم بوجوده — لكن شخصاً آخر يعلم. يدخل ويخرج متى شاء، يطّلع على كل شيء، ربما ينقل أشياء دون أن تلاحظ. هذا بالضبط ما تعنيه ثغرة Zero-Day في عالم الأمن السيبراني. الفارق الوحيد أن الباب هنا في برنامج تستخدمه الآن، وأن من يعلم بوجوده قد يكون مجموعة تجسس حكومية أو عصابة فدية أو باحث أمني يحاول إبلاغك قبل فوات الأوان.
 |
| Zero-Day Exploit ماذا يعني وكيف يعمل؟ |
ما هو Zero-Day بالضبط؟
الـ Zero-Day — أو ثغرة اليوم الصفري — هي ثغرة أمنية في برنامج أو نظام لا يعلم بها المطوّر بعد. الاسم يعني حرفياً أن الشركة لديها صفر أيام لتصحيحها، لأنها لا تعلم بوجودها أصلاً.
ثلاثة عناصر يجب أن تتوفر لنسمي الثغرة Zero-Day:
- الجهل الرسمي: الشركة المصنّعة للبرنامج لا تعلم بالثغرة.
- غياب الـ Patch: لا يوجد تحديث أمني متاح لأن المشكلة غير معروفة رسمياً.
- قابلية الاستغلال: الثغرة يمكن استغلالها فعلياً للوصول إلى النظام أو التحكم فيه.
بمجرد أن تعلم الشركة بالثغرة وتُصدر Patch رسمياً، تنتهي صفة Zero-Day عنها وتحصل على معرّف CVE رسمي. تصبح بعدها N-Day — حيث N هو عدد الأيام منذ الإفصاح.
لماذا تُسمى Zero-Day؟ — أصل التسمية
المصطلح جاء من ثقافة مجتمعات القرصنة في التسعينيات. في تلك المجتمعات كان يُقال إن البرنامج أو الفيلم المسرّب "zero days old" — أي أنه خرج للعموم في نفس يوم إطلاقه الرسمي أو قبله. استُعير المصطلح لاحقاً للثغرات الأمنية التي لا يعلم بها أحد رسمياً بعد، لأن المطوّر أمامه صفر أيام لاتخاذ إجراء.
دورة حياة Zero-Day — من الاكتشاف إلى الموت
فهم دورة حياة الـ Zero-Day يوضح لماذا هي أخطر من أي ثغرة أخرى:
المرحلة الأولى: الاكتشاف
يكتشف شخص ما — باحث أمني، مهاجم، جهاز استخبارات — ثغرةً في برنامج. هذه اللحظة تُحدد كل ما يأتي بعدها. إذا كان المكتشف باحثاً أمنياً نزيهاً، ستتبع مساراً. إذا كان مهاجماً أو وكالة استخبارات، ستتبع مساراً مختلفاً تماماً.
المرحلة الثانية: الاحتفاظ والاستغلال السري
إذا بقيت الثغرة في يد المهاجم، يبدأ باستغلالها بصمت. الهدف هو البقاء مكشوفاً أطول وقت ممكن. مجموعات التجسس الحكومية أحياناً تحتفظ بـ Zero-Day لأشهر أو سنوات قبل استخدامها في لحظة دقيقة ومحددة.
المرحلة الثالثة: الاكتشاف أو الإفصاح
تُكتشف الثغرة بأحد طريقين: إما باحث أمني يجدها باستقلالية ويُبلّغ عنها عبر Responsible Disclosure، أو يلاحظ فريق أمني نشاطاً غريباً ويتتبعه حتى يصل للثغرة.
المرحلة الرابعة: إصدار الـ Patch وانتهاء الـ Zero-Day
بعد الإبلاغ، تعمل الشركة على إصدار تحديث أمني. من هذه اللحظة تنتهي رسمياً صفة Zero-Day. لكن الخطر لا ينتهي — ثغرة معلنة في نظام لم يُحدَّث بعد تبقى بوابةً مفتوحة.
متوسط الوقت بين اكتشاف Zero-Day واستغلالها أصبح أقل من 5 أيام في 2025 — كان 32 يوماً في 2021.
Mandiant M-Trends 2025
من يبحث عن Zero-Days ومن يشتريها؟
هنا يصبح الموضوع أكثر تعقيداً — وأكثر إثارةً للجدل.
الباحثون الأمنيون المستقلون
يبحثون عن الثغرات ويُبلّغون عنها مباشرةً للشركة عبر برامج Bug Bounty، أو عبر منسقي الإفصاح مثل CERT/CC. المكافأة قد تتراوح بين آلاف وملايين الدولارات حسب خطورة الثغرة والشركة. Google دفعت 11.8 مليون دولار في 2023 لباحثي Bug Bounty.
شركات Exploit Brokers
شركات متخصصة تشتري Zero-Days من مكتشفيها وتبيعها لعملاء — غالباً حكومات وأجهزة استخبارات. Zerodium من أشهر هذه الشركات، تعلن عن أسعار صريحة: تصل إلى 2.5 مليون دولار لـ Zero-Day في iOS تتيح اختراقاً كاملاً بدون تفاعل من الضحية (zero-click).
| الهدف | السعر التقريبي في السوق |
|---|---|
| iOS full chain zero-click RCE | حتى 2,500,000 دولار |
| Android zero-click RCE | حتى 1,500,000 دولار |
| Chrome RCE + sandbox escape | حتى 500,000 دولار |
| Windows LPE (رفع صلاحيات) | حتى 400,000 دولار |
| WhatsApp / iMessage zero-click | حتى 1,000,000 دولار |
مجموعات APT والاستخبارات الحكومية
الجهات الحكومية إما تطور Zero-Days داخلياً عبر فرق متخصصة، أو تشتريها من Brokers. الهدف عادةً التجسس الممتد أو التخريب الاستراتيجي. وكالة NSA الأمريكية احتفظت بمجموعة Zero-Days حتى سرّبتها مجموعة Shadow Brokers عام 2017 — وكان من بينها EternalBlue الذي صار لاحقاً محرك WannaCry.
مجموعات Ransomware
تستخدم Zero-Days للدخول الأولي أو رفع الصلاحيات. في 2025 ارتفعت نسبة استخدام Zero-Days في هجمات Ransomware إلى 56.4% — ارتفاع حاد يعني أن هذه المجموعات باتت تملك موارد للحصول على أسلحة سبق أن كانت حكراً على الاستخبارات.
أمثلة حقيقية من الواقع
Stuxnet — 2010: أول سلاح Zero-Day معروف
استخدم أربع Zero-Days في Windows في وقت واحد — رقم غير مسبوق. صُمّم لتخريب أجهزة الطرد المركزي في برنامج إيران النووي. اعتُبر نقطة تحول في تاريخ الحرب السيبرانية لأنه أثبت أن Zero-Days يمكن أن تُسبب ضرراً مادياً حقيقياً في العالم الفيزيائي.
Log4Shell — CVE-2021-44228
ثغرة في مكتبة Java الشائعة Log4j أُعلن عنها في ديسمبر 2021. في الساعات الأولى كانت Zero-Day حقيقية — ثم أصبحت N-Day بعد إصدار الـ Patch. ما جعلها استثنائية هو انتشار Log4j في ملايين التطبيقات، وسهولة الاستغلال، واستمرار استغلالها لسنوات بعد ذلك في الأنظمة غير المحدّثة.
Chrome V8 — CVE-2025-10585
ثغرة في محرك JavaScript الخاص بـ Chrome أُعلن عنها في 2025، تتيح تنفيذ كود عن بُعد (RCE). استغلتها مجموعات مرتبطة بجهات حكومية في حملات تجسس مستهدفة. أصدرت Google Patch طارئاً خلال 24 ساعة من الإعلان — وهو وقت قياسي يعكس خطورة الثغرة.
Windows CLFS — CVE-2025-29824
ثغرة رفع صلاحيات في Windows Common Log File System استغلتها مجموعة Storm-2460 في هجمات Ransomware مستهدفة في 2025. النمط الكلاسيكي: دخول أولي عبر ثغرة أخرى، ثم استخدام هذه الثغرة لرفع الصلاحيات والسيطرة الكاملة على النظام.
Zero-Day مقابل N-Day مقابل One-Day
| النوع | التعريف | مستوى الخطر | الدفاع الممكن |
|---|---|---|---|
| Zero-Day | لا يعلم بها المطوّر، لا Patch موجود | أقصى خطر | كشف السلوك الشاذ فقط |
| One-Day | أُعلن عنها منذ أقل من 24 ساعة | خطر حرج | التحديث الفوري — سباق مع الزمن |
| N-Day | معلنة ومتاح Patch لكن النظام غير محدّث | عالٍ جداً | تطبيق الـ Patch فوراً |
أغلب الاختراقات الناجحة في 2025 استغلت N-Days — ثغرات معروفة ومتاح لها Patch لم تُطبّقه المؤسسة بعد. Zero-Day مخيفة نظرياً، لكن الإهمال في التحديث أكثر تكلفةً في الواقع.
كيف تكتشف Zero-Day؟ — أساليب الاكتشاف
Fuzzing — الاختبار العشوائي المكثف
إرسال كميات ضخمة من المدخلات العشوائية أو غير المتوقعة لبرنامج ورصد أي سلوك شاذ أو توقف مفاجئ. Google تستخدم OSS-Fuzz لاختبار مستمر للمكتبات مفتوحة المصدر، وقد اكتشف آلاف الثغرات.
Code Auditing — مراجعة الكود
مراجعة الكود المصدري يدوياً أو بأدوات آلية بحثاً عن أنماط خطرة. تتطلب خبرة عميقة في لغات البرمجة وأنماط الثغرات الشائعة كـ Buffer Overflow وUse-After-Free.
Reverse Engineering
تحليل البرنامج المُجمَّع دون الوصول للكود المصدري. يُستخدم على البرامج المغلقة المصدر لاكتشاف ثغرات محتملة في منطق العمل أو إدارة الذاكرة.
Threat Intelligence والاكتشاف الميداني
أحياناً تُكتشف الثغرة بعد استغلالها — محللو Incident Response يتتبعون الهجوم إلى أصله ويكتشفون ثغرة غير معروفة. هذا هو المسار الأكثر حدوثاً في الواقع للثغرات عالية الخطورة.
كيف تحمي نظامك من Zero-Day؟
لا يوجد حل مضمون بنسبة 100% — لكن توجد طبقات دفاعية تُقلل الأثر بشكل جذري:
1. Defense in Depth — لا تعتمد على طبقة واحدة
افترض دائماً أن طبقةً ستُخترق. جدار الحماية، EDR، مراقبة الشبكة، تشفير البيانات — كل طبقة تعمل مستقلةً. المهاجم الذي يخترق جدار الحماية يجب أن يواجه EDR، ثم مراقبة السجلات، ثم تجزئة الشبكة.
2. Zero Trust — لا تثق بأي شيء تلقائياً
حتى الأجهزة داخل شبكتك الداخلية تحتاج تحققاً مستمراً. تقليص الصلاحيات لأدنى مستوى ضروري (Least Privilege) يعني أن اختراق حساب موظف عادي لا يُعطي المهاجم مفاتيح المملكة.
3. Behavioral Detection — كشف السلوك الشاذ
بما أنه لا توقيع للـ Zero-Day في قواعد البيانات الأمنية، الكشف عبر السلوك هو الأداة الفعّالة. هل هذا البرنامج بدأ فجأة بقراءة ملفات خارج نطاق عمله؟ هل هناك اتصال شبكي غير معتاد؟ أدوات EDR الحديثة مبنية على هذا المبدأ.
4. Attack Surface Reduction — قلّل ما يمكن مهاجمته
كل برنامج غير ضروري مثبّت، وكل بورت مفتوح دون حاجة، وكل خدمة تعمل في الخلفية — هو هدف محتمل. تصغير سطح الهجوم يعني تقليل عدد الأماكن التي يمكن أن تختبئ فيها Zero-Day.
5. Patch Management — التحديث الفوري بلا استثناء
بعد إصدار Patch لثغرة Zero-Day، النافذة الزمنية الآمنة لتطبيقه تُقاس بالساعات لا الأيام. مؤسسة لم تُطبق Patch بعد أسبوع من إصداره تواجه خطراً يعادل خطر الـ Zero-Day نفسه.
راقب CISA KEV يومياً — كل ثغرة تظهر فيها تعني أنها تُستغل الآن في الواقع. Zero-Day في CISA KEV تعني أن الهجوم جارٍ وأنت تقرأ هذه السطور.
Responsible Disclosure — الإفصاح المسؤول
عندما يكتشف باحث أمني Zero-Day، أمامه خيارات:
- Responsible Disclosure: إبلاغ الشركة سراً ومنحها وقتاً (عادةً 90 يوماً) لإصدار Patch قبل الإعلان للعموم.
- Full Disclosure: نشر تفاصيل الثغرة للعموم فوراً — يُضغط على الشركة للتصحيح السريع لكنه يُعرّض المستخدمين للخطر.
- Bug Bounty: الإبلاغ عبر برنامج رسمي مقابل مكافأة مالية.
- البيع للـ Brokers: المسار الرمادي أو الأسود — يعتمد على المشتري النهائي.
Google Project Zero من أشهر فرق أبحاث Zero-Day — تكتشف ثغرات في منتجات شركات أخرى وتمنحها 90 يوماً للتصحيح قبل الإعلان. هذه السياسة أحدثت ضغطاً إيجابياً على الصناعة كلها لتسريع دورات التصحيح.
أسئلة شائعة حول Zero-Day
هل يمكن للأنتيفيروس أن يكشف هجوم Zero-Day؟
الأنتيفيروس التقليدي المعتمد على التوقيعات لا — لأن Zero-Day لا يملك توقيعاً معروفاً بعد. لكن حلول EDR الحديثة التي تعتمد على كشف السلوك الشاذ والتعلم الآلي يمكنها أحياناً اكتشاف نشاط مشبوه حتى دون معرفة الثغرة المستغلة.
هل المستخدم العادي يتأثر بـ Zero-Day؟
نعم، خاصةً Zero-Days في المتصفحات وأنظمة التشغيل. ثغرة Zero-Day في Chrome أو Windows قد تستهدف ملايين المستخدمين. الحماية العملية: تفعيل التحديثات التلقائية، تجنب الروابط المشبوهة، واستخدام متصفح محدّث دائماً.
كم يستغرق تصحيح Zero-Day بعد اكتشافها؟
يتفاوت حسب الشركة وخطورة الثغرة. Google أصدرت Patch لـ Chrome خلال 24 ساعة في بعض الحالات الحرجة. Microsoft تستهدف إصدار Patch في Patch Tuesday التالي (أسبوعين كحد أقصى) لكنها تُصدر Out-of-Band Patch لحالات استثنائية. المتوسط الصناعي 7-30 يوماً بعد الإبلاغ المسؤول.
ما الفرق بين Zero-Day Vulnerability وZero-Day Exploit؟
Zero-Day Vulnerability هي الثغرة نفسها — الخلل في الكود. Zero-Day Exploit هو الكود أو الأداة التي تستغل هذه الثغرة فعلياً. يمكن أن تكون الثغرة معروفة لدى مهاجم دون أن يملك exploit جاهزاً، أو يملك exploit دون أن يستخدمه بعد.
هل شراء وبيع Zero-Days قانوني؟
في كثير من الدول لا يوجد قانون صريح يُجرّم بيع معلومات الثغرات بحد ذاتها — لكن استخدام Exploit لاختراق نظام دون إذن جريمة في معظم الأنظمة القانونية. المنطقة الرمادية هي بيع Zero-Days لحكومات تستخدمها في التجسس — وهو ما يثير جدلاً أخلاقياً وقانونياً واسعاً.
خلاصة
الـ Zero-Day ليست مجرد مصطلح تقني — هي تذكير بأن كل برنامج تستخدمه يحتوي على ثغرات لا يعلم بها أحد بعد. الفارق بينك وبين من يُخترق ليس في وجود هذه الثغرات من عدمه، بل في طبقات الدفاع التي تمنع المهاجم من الوصول إليها أو تُقلّص أثره عند الاستغلال. التحديث المستمر، تقليص سطح الهجوم، ومراقبة السلوك الشاذ — ثلاثة مبادئ بسيطة تُحيّد أخطر أسلحة المهاجمين الرقمية.
مقالات ذات صلة
المراجع:
Mandiant M-Trends 2025 Report — mandiant.com
VulnCheck Exploit Intelligence Report 2026 — vulncheck.com
Google Project Zero — googleprojectzero.blogspot.com
Zerodium Exploit Acquisition Program — zerodium.com
CISA Known Exploited Vulnerabilities Catalog — cisa.gov/kev
MITRE CVE Program — cve.org
